没有图形界面的CentOS服务器如何使用Wireshark抓包？

在CentOS服务器上进行网络抓包是网络诊断、安全分析和性能优化的关键环节，Wireshark作为一款强大的网络协议分析器，其命令行版本TShark尤其适合在无图形界面的服务器环境中使用，本文将详细介绍如何在CentOS上安装、配置并使用Wireshark（主要聚焦于TShark）进行高效抓包。

安装与配置

在CentOS上安装Wireshark非常直接,但通常需要先启用EPEL（Extra Packages for Enterprise Linux）仓库，因为Wireshark相关包可能不在默认的Base仓库中。

启用EPEL仓库,对于CentOS 7/8，可以使用以下命令：

# 对于CentOS 7
sudo yum install epel-release
# 对于CentOS 8/Stream
sudo dnf install epel-release

安装Wireshark的核心组件,我们主要关注的是命令行工具wireshark-cli（它提供了tshark），这对于服务器环境至关重要。

# 使用yum或dnf安装
sudo yum install wireshark-cli
# 或者
sudo dnf install wireshark-cli

安装完成后,需要进行权限配置，出于安全考虑，直接使用普通用户运行抓包工具会提示“权限不足”，Wireshark安装时会创建一个名为wireshark的用户组，将需要执行抓包操作的用户添加到该组，即可无需root权限进行抓包。

# 将当前用户添加到wireshark组
sudo usermod -a -G wireshark $USER

重要提示：用户组变更后，需要注销并重新登录，或者使用newgrp wireshark命令切换到新的用户组环境，权限才能生效。

TShark是Wireshark的命令行版本,功能强大且资源占用小，是服务器抓包的首选，其基本语法为 tshark [选项]。

为了高效使用TShark,掌握其常用参数至关重要，下表列出了一些最核心的选项：

选项	描述	示例
`-D`	列出所有可用的网络接口	`tshark -D`
`-i <interface>`	指定抓包的网络接口，`any`表示所有接口	`tshark -i eth0`
`-c <count>`	捕获指定数量的数据包后自动停止	`tshark -i eth0 -c 100`
`-w <filename>`	将捕获的数据包保存到文件中	`tshark -i eth0 -w capture.pcap`
`-r <filename>`	从已保存的文件中读取数据包进行分析	`tshark -r capture.pcap`
`-f "<capture_filter>"`	设置捕获过滤器（BPF语法），在抓包时生效	`tshark -i eth0 -f "port 80"`
`-Y "<display_filter>"`	设置显示过滤器，在读取数据时生效	`tshark -i eth0 -Y "http.request.method == GET"`
`-V`	显示数据包的详细协议树结构	`tshark -i eth0 -V`
`-T fields`	以字段形式输出，可配合`-e`指定字段	`tshark -T fields -e ip.src -e ip.dst`

捕获过滤器（-f）在数据包到达时即进行过滤，能有效减少文件大小和CPU负载，而显示过滤器（-Y）则用于从已捕获的数据中筛选出感兴趣的内容。

结合上述参数,可以实现非常精准的抓包任务。

捕获特定接口的100个HTTP数据包并保存
```
tshark -i eth0 -f "tcp port 80" -c 100 -w http_traffic.pcap
```
此命令会捕获eth0接口上所有目标或源端口为80的TCP数据包，共100个，并存入文件。
实时监控DNS查询
```
tshark -i any -Y "dns"
```
此命令会实时显示所有通过系统的DNS查询和响应报文,非常适合排查域名解析问题。
分析已保存的抓包文件，提取HTTP请求的URL
```
tshark -r http_traffic.pcap -Y "http.request" -T fields -e http.request.method -e http.host -e http.request.uri
```
这条命令会读取http_traffic.pcap文件，筛选出所有HTTP请求，并以表格形式输出请求方法、主机名和路径，非常便于分析。