Linux下如何监视所有通过本机网卡的数据？

TCPDUMPTcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

TCPDUMP简介

在传统的网络分析和测试技术中，嗅探器(sniffer)是最常见，也是最重要的技术之一。sniffer工具首先是为网络管理员和网络程序员进行网络分析而设计的。对于网络管理人员来说，使用嗅探器可以随时掌握网络的实际情况，在网络性能急剧下降的时候，可以通过sniffer工具来分析原因，找出造成网络阻塞的来源。对于网络程序员来说,通过sniffer工具来调试程序。

用过windows平台上的sniffer工具(例如，netxray和sniffer pro软件)的朋友可能都知道，在共享式的局域网中，采用sniffer工具简直可以对网络中的所有流量一览无余！Sniffer工具实际上就是一个网络上的抓包工具，同时还可以对抓到的包进行分析。由于在共享式的网络中，信息包是会广播到网络中所有主机的网络接口，只不过在没有使用sniffer工具之前，主机的网络设备会判断该信息包是否应该接收，这样它就会抛弃不应该接收的信息包，sniffer工具却使主机的网络设备接收所有到达的信息包，这样就达到了网络监听的效果。

Linux作为网络服务器，特别是作为路由器和网关时，数据的采集和分析是必不可少的。所以，今天我们就来看看Linux中强大的网络数据采集分析工具——TcpDump。

用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。

作为互联网上经典的的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的东东之一。

顾名思义，TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

普通情况下，直接启动tcpdump将监视第一个网络界面上所有流过的数据包。

这个非常简单，telnet、nc和nmap这3个命令就可以轻松实现，下面我简单介绍一下实现过程，感兴趣的朋友可以自己尝试一下： telnet 这是基于telnet协议实现的一个远程登录命令，可以直接用于测试远程Linux服务器是否开启指定端口，安装的话，输入命令“yum install -y telnet”（或者“apt install -y telnet”）就行，使用方式“telnet 服务器IP地址 端口号”，如下，这里以端口22为例，如果返回结果为Connected，则说明端口开启，如果为refused，则说明端口关闭：nc 也即netcat，一个简单实用的Unix（Linux）工具，主要用来读写网络间连接的数据，可以很方便的查看远程Linux服务器是否开启指定端口，如下，这里以3306端口为例，如果返回结果为Connected，则说明端口开启，如果为timed out，则说明端口关闭：更多参数和说明的话，可以使用命令“nc -h”进行查看，官方文档解释的非常清楚详细，如下：nmap 这是一个专门用于网络嗅探的工具，在渗透测试中经常会用到，也可以很方便的查看远程Linux服务器是否开启指定端口，安装的话，输入命令“yum install -y nmap”（或者“apt install -y nmap”）就行，如下，这里以80，21，3306这3个端口为例，如果返回结果为open，则说明端口开启，如果为filtered，则说明端口关闭：更多参数和功能的话，可以使用帮助命令“nmap -h”进行查看，官方文档解释的非常详细清楚，一目了然，如下：至此，我们就介绍完了使用telnet、nc和nmap这3个命令来查看远程Linux服务器是否开启指定端口。总的来说，这3种方式都非常简单，只要你有一定的Linux基础，熟悉一下相关参数和说明，很快就能掌握的，网上也有相关教程和资料，介绍的非常详细，感兴趣的话，可以搜一下，希望以上分享的内容能对你有所帮助吧，也欢迎大家评论、留言进行补充。 方法一，telnet host port 方法二，nc -t host port 其中-t代表tcp，-u是udp 方法三，任意语言，优先python，写一段 socket程序，调用connect函数看看是否成功 ping一下ip地址加上你想要的端口，就知道端口打开没有

必须要在路由器上配置“端口镜像”或者“端口监控”才可以。linux下只能用tcpdump抓包，还是要拷贝到windows下来用wireshark查看。

我建议你不如直接在windows下安装“WFilter上网行为管理软件”，可以监控所有设备的流量，还可以配置封堵策略。

---