在 CentOS 上并没有一个叫 “Sniffer” 的标准命令,通常是指 网络嗅探(抓包)工具。下面我按最常见、最实用的方式给你讲,基本能覆盖 90% 的使用场景。
一、CentOS 常用的 Sniffer / 抓包工具
| 工具 | 说明 |
|---|---|
| tcpdump | 最常用、命令行抓包工具(强烈推荐) |
| Wireshark | 图形化抓包分析(服务器一般不用) |
| tshark | Wireshark 的命令行版 |
| ss / netstat | 查看连接,不算真正 sniffer |
| nmap | 扫描,不是抓包 |
✅ CentOS 服务器首选:tcpdump
二、安装 tcpdump(CentOS 7 / 8 / Stream)
# CentOS 7
yum install -y tcpdump
# CentOS 8 / Stream
dnf install -y tcpdump
检查:
tcpdump --version
三、tcpdump 基础用法(核心)
1️⃣ 查看网卡
ip addr
或
ifconfig
2️⃣ 抓取所有流量(指定网卡)
tcpdump -i eth0
常用参数:
-i eth0 # 指定网卡
-n # 不解析主机名
-nn # 不解析主机名和端口
-v # 详细信息
-vv # 更详细
-c 100 # 抓 100 个包后停止
3️⃣ 抓 HTTP 流量(80 端口)
tcpdump -i eth0 port 80 -nn
4️⃣ 抓某个 IP 的流量
tcpdump -i eth0 host 192.168.1.100
5️⃣ 抓某个 IP + 端口
tcpdump -i eth0 host 192.168.1.100 and port 443
6️⃣ 抓完整数据包(用于分析)
tcpdump -i eth0 -s 0 -w capture.pcap
参数说明:
-s 0:抓完整包-w:写入文件(可用 Wireshark 分析)
停止:Ctrl + C
7️⃣ 读取抓包文件
tcpdump -r capture.pcap
四、常见实战示例
✅ 排查服务器是否被攻击
tcpdump -i eth0 -nn 'tcp[tcpflags] & (tcp-syn) != 0'
✅ 查看 DNS 请求
tcpdump -i eth0 port 53
✅ 查看 SSH 连接
tcpdump -i eth0 port 22
✅ 查看 ARP 欺骗
tcpdump -i eth0 arp
五、权限问题(非常重要)
tcpdump 需要 root 权限:
sudo tcpdump -i eth0
或
su -
六、如果你指的是“CentOS Sniffer”这个软件
⚠️ 注意:
- 没有官方叫 “CentOS Sniffer” 的软件
- 网上有些第三方工具叫 sniffer,但 不建议在生产环境乱装
- 很多是 安全审计/黑客工具,可能被杀毒软件或公司安全策略禁用
如果你看到的是某个教程里的命令,可以把原文贴出来,我可以帮你精确解释。
七、总结(快速上手)
最常用的一条命令:
tcpdump -i eth0 -nn -v
抓包分析:
tcpdump -i eth0 -s 0 -w test.pcap
如果你愿意,可以告诉我:
- ✅ CentOS 版本
- ✅ 你是 排查网络 / 安全 / 性能 / 学习
- ✅ 想要抓 哪种流量
我可以直接给你 定制命令。
