最强linux抓包工具优劣势对比分析

ngrep

核心参数

用法举例

# 监听本机所有网卡的80端口流量
ngrep -d any port 80 
 
# 监听指定网卡上的所有流量
ngrep -d eth0 
 
# 设置捕获数据包大小为100字节
ngrep -s 100 
 
# 解析并显示HTTP数据包内容
ngrep -q -W byline -d eth0 -t '^(GET|POST) ' 'tcp port 80' | grep -i -E '^(GET|POST)'
 
# 解析并显示SMTP数据包内容
ngrep -q -W byline -d eth0 -t '^\S+ [^@]+@' 'tcp port 25' | grep -i -E '^(MAIL|RCPT|DATA)'
 
# 捕获指定网卡上的ICMP数据包
ngrep -d eth0 -t icmp 
 
# 设置捕获数据包的数量为100
ngrep -c 100

注：ngrep可以用于网络流量的抓取和过滤，类似于grep命令对文件的过滤，ngrep对网络流量进行过滤和匹配。

Wireshark

核心参数

用法举例

# 抓取指定接口的所有数据包
wireshark -i eth0
 
# 使用过滤器抓取特定协议的数据包
wireshark -f "tcp port 80"
 
# 将抓到的数据包保存到文件中
wireshark -i eth0 -w capture.pcap
 
# 读取保存的数据包文件进行分析
wireshark -r capture.pcap
 
# 禁用网络地址转换功能
wireshark -n
 
# 使用指定的协议解析器的显示格式
wireshark -d udp.port==53,dns
 
# 显示时间戳
wireshark -t ad
 
# 设置输出格式
wireshark -T json
 
# 提取指定字段
wireshark -e tcp.flags -e ip.src -e ip.dst
 
# 设置静默模式
wireshark -q

以上是一些常用的Wireshark命令，具体使用场景可以根据实际需求进行调整。Wireshark拥有丰富的命令选项和过滤器选项，用户可以根据需要进行调整和组合，以满足自己的抓包分析需求。

tshark

核心参数

用法举例

# 监听网络接口并输出到终端
tshark -i eth0
 
# 监听网络接口并将结果写入指定文件
tshark -i eth0 -w capture.pcap
 
# 从文件中读取数据包并输出到终端
tshark -r capture.pcap
 
# 从文件中读取数据包并将结果写入指定文件
tshark -r capture.pcap -w newcapture.pcap
 
# 使用过滤器表达式对数据包进行过滤并输出到终端
tshark -i eth0 -f "tcp port 80"
 
# 使用过滤器表达式对数据包进行过滤并将结果写入指定文件
tshark -i eth0 -f "tcp port 80" -w http.pcap
 
# 输出指定格式的数据包信息
tshark -i eth0 -T fields -e http.request.method -e http.host
 
# 使用指定的统计模式输出统计信息
tshark -i eth0 -z io,phs

以上是tshark工具的基本使用方法，使用不同的参数和选项可以完成更加复杂的网络数据包分析和统计任务。

ssldump

核心参数

用法举例

# 监听本机的eth0网络接口
sudo ssldump -i eth0
 
# 读取pcap文件并输出ASCII码
ssldump -r capture.pcap -A
 
# 显示明文数据
ssldump -r capture.pcap -X
 
# 显示服务器证书
ssldump -r capture.pcap -S
 
# 显示热带鱼特有的信息
ssldump -r capture.pcap -H
 
# 显示十六进制编码
ssldump -r capture.pcap -x
 
# 显示更多的信息
ssldump -r capture.pcap -v
 
# 显示可以嗅探的接口列表
ssldump -D
 
# 设置日志文件大小为1M
ssldump -C 1 -L /tmp/ssldump.log
 
# 不解析DNS
ssldump -r capture.pcap -n
 
# 设置协议类型为SMTP
ssldump -r capture.pcap -T smtp
 
# 使用过滤器过滤数据包
ssldump -r capture.pcap -F 'tcp port 443'

netsniff-ng

核心参数

用法举例

# 抓取指定接口的所有数据包
sudo netsniff-ng -i eth0
 
# 抓取指定接口的前100个数据包
sudo netsniff-ng -i eth0 -c 100
 
# 抓取指定接口的TCP数据包
sudo netsniff-ng -i eth0 -f "tcp"
 
# 抓取指定接口的IP数据包，并输出详细信息
sudo netsniff-ng -i eth0 -f "ip" -v
 
# 抓取指定接口的前10个TCP数据包，并输出16进制码形式的包内容
sudo netsniff-ng -i eth0 -f "tcp" -B -c 10
 
# 抓取指定接口的TCP数据包，输出ASCII码形式的包内容，并将结果保存到文件
sudo netsniff-ng -i eth0 -f "tcp" -A > output.txt
 
# 抓取指定接口的TCP数据包，输出指定格式的包内容
sudo netsniff-ng -i eth0 -f "tcp" -T '%(proto)src: %(saddr):%(sport) -> %(dstaddr):%(dstport)\n'

dsniff

核心参数

用法举例

# 嗅探指定接口的HTTP请求
sudo dsniff -d eth0 -p http
 
# 嗅探指定接口的所有流量
sudo dsniff -d eth0
 
# 嗅探指定目标主机的FTP流量
sudo dsniff -m target_host -p ftp
 
# 嗅探指定目标主机的所有流量
sudo dsniff -m target_host
 
# 嗅探指定数据包文件中的HTTP请求
sudo dsniff -i input.pcap -p http
 
# 嗅探指定数据包文件中的所有流量
sudo dsniff -i input.pcap
 
# 嗅探指定端口的流量
sudo dsniff -f "tcp port 80"
 
# 嗅探指定数量的流量并输出详细信息
sudo dsniff -s 100 -v
 
# 嗅探指定目标主机的SMTP流量并输出到文件
sudo dsniff -m target_host -p smtp -w output.pcap
 
# 嗅探指定目标主机的SSH流量并不执行DNS反向解析
sudo dsniff -m target_host -p ssh -n

注意：dsniff需要使用root权限运行。

所有工具总结对比：

波哥开启波哥帮办业务:

想考PMP，软考的可以咨询波哥，波哥能保证我的渠道优于市面上90%自己找渠道的散户小朋友，绝对无坑。

 +V 

itboge1521

腾讯云服务器3年408复制链接或者点阅读原文

https://url.cn/0LMFe5AG

---

波哥

IT行业近二十年的IT老炮。常年潜伏于国企、各一二线大厂中。硬件集成入行，直至虚拟技术、容器化。岗位历经系统集成、DBA、全栈开发、sre、项目经理、产品经理、部门总监。

主要作品：

• IT类资源汇聚门户：https://www.98dev.com

• 各大短视频平台：98dev

• 各大主要技术论坛博客：IT运维技术圈

• 长视频教学作品：《波哥讲网络》《波哥讲git》《波哥讲gitlab》

• 小程序：IT面试精选

• 构建技术社区：+V itboge1521 入学习交流群