CentOS Sniffer如何抓包分析

CentOS下常用抓包分析工具及方法如下：

一、工具安裝

1. tcpdump（命令行工具，系統自帶）

   sudo yum install tcpdump -y  
   

2. Wireshark（圖形化界面，需安裝）

   sudo yum install wireshark wireshark-gnome -y  
   

3. go-sniffer（第三方工具，支持協議解析）

   sudo yum install libpcap-devel -y  
   wget https://golang.org/dl/go1.10.3.linux-amd64.tar.gz  
   tar -C /usr/local -xzf go1.10.3.linux-amd64.tar.gz  
   export PATH=$PATH:/usr/local/go/bin  
   go get -v -u github.com/40t/go-sniffer  
   cp $(go env GOPATH)/bin/go-sniffer /usr/local/bin  
   

二、抓包操作

1. tcpdump基礎抓包

   • 捕獲指定接口（如eth0）所有數據包：

     sudo tcpdump -i eth0  
     

   • 保存到文件（后續用Wireshark分析）：

     sudo tcpdump -i eth0 -w capture.pcap  
     

   • 過濾特定協議（如HTTP）：

     sudo tcpdump -i eth0 port 80  
     

2. Wireshark圖形化分析

   • 啟動后選擇接口，實時捕獲數據包，支持過濾（如http、ip.addr==192.168.1.1）、查看協議詳情（如TCP三次握手）。

3. go-sniffer協議抓包

   • 抓取Redis數據包：

     go-sniffer eth0 redis  
     

   • 抓取MySQL數據包（端口3306）：

     go-sniffer eth0 mysql -p 3306  
     

三、分析方法

• 命令行過濾：通過awk、sort等工具處理抓包文件（如統計高頻IP）：

  sudo tcpdump -r capture.pcap | awk '{print $3}' | sort | uniq -c | sort -nr  
  

• 圖形化工具：Wireshark可通過“過濾器”快速定位異常流量（如重傳、異常端口），支持協議解碼（如HTTP請求內容）。

四、注意事項

• 需先獲取授權，避免非法抓包。
• 大流量場景建議在非高峰期操作，或使用-c限制抓包數量。

工具選擇：簡單分析用tcpdump+Wireshark，協議深度解析用go-sniffer。