CentOS 如何实现循环抓包，避免手动停止？

在CentOS系统中进行循环抓包操作,可实现对网络流量的持续监控与分析，本文将详细介绍其实现方法、关键配置及注意事项。

工具选择与安装

在CentOS中,tcpdump是最常用的抓包工具，需先通过yum包管理器安装：

sudo yum install -y tcpdump  # 安装tcpdump

若需图形化界面分析,可搭配Wireshark（需额外配置X11转发或使用无头模式）。

基础抓包命令

单次抓包可通过指定接口和时间限制实现：

sudo tcpdump -i eth0 -c 1000 -w capture.pcap  # 抓取eth0接口前1000个数据包，保存至capture.pcap

• -i：指定网卡接口（如eth0、ens33）；
• -c：设定抓包数量；
• -w：输出文件格式（pcap为通用抓包格式）。

循环抓包实现方案

方案1：脚本循环+时间分割

通过Shell脚本控制抓包时长,自动切换文件名避免覆盖：

#!/bin/bash
interface="eth0"          # 监控网卡
duration=300              # 单次抓包时长（秒）
output_dir="/tmp/captures" # 存储目录
mkdir -p "$output_dir"
while true; do
    timestamp=$(date +%Y%m%d_%H%M%S)
    sudo tcpdump -i "$interface" -G "$duration" -W 1 -w "${output_dir}/capture_${timestamp}.pcap"
done

• -G：每duration秒生成新文件；
• -W：每个文件的最大数量（此处设为1，即每次仅保留最新文件）。

方案2：定时任务+日志轮转

结合cronjob定期执行抓包,利用logrotate管理文件：

1. 创建抓包脚本/usr/local/bin/capture.sh：

   #!/bin/bash
   interface="eth0"
   output_dir="/var/log/packets"
   mkdir -p "$output_dir"
   sudo tcpdump -i "$interface" -c 5000 -w "${output_dir}/packet_$(date +%Y%m%d).pcap"

2. 配置crontab（每小时执行一次）：

   0 * * * * /usr/local/bin/capture.sh

3. 配置logrotate（/etc/logrotate.d/tcpdump）：

   /var/log/packets/*.pcap {
       daily
       rotate 7
       compress
       missingok
       notifempty
   }

高级过滤与优化

协议过滤

仅抓取HTTP流量：

sudo tcpdump -i eth0 'tcp port 80'

支持复杂表达式,如源IP为192.168.1.10且端口为22：

sudo tcpdump -i eth0 'src 192.168.1.10 and port 22'

性能优化

• 禁用反向域名解析（减少DNS查询开销）：

  sudo tcpdump -n

• 使用-s0抓取完整数据包（默认仅抓68字节）：

  sudo tcpdump -s 0

安全与权限管理

由于抓包需root权限,建议：

1. 限制tcpdump二进制文件的访问权限：

   chmod 750 /usr/sbin/tcpdump
   chown root:root /usr/sbin/tcpdump

2. 使用非root用户配合sudo执行：
   在/etc/sudoers中添加：

   username ALL=(root) NOPASSWD:/usr/sbin/tcpdump

常见问题排查

问题现象	解决方法
抓包文件为空	检查网卡名称是否正确（ip a查看）
权限不足错误	使用sudo执行或调整文件权限
过滤规则未生效	检查表达式语法（如引号是否遗漏）

FAQs

Q1：如何实时查看抓包结果？
A：使用tshark（Wireshark命令行版）结合tail实时显示：

sudo tshark -i eth0 -T fields -e frame.number -e ip.src -e ip.dst

Q2：循环抓包导致磁盘空间耗尽怎么办？
A：通过logrotate自动压缩归档旧文件，或在脚本中加入磁盘空间检查：

# 脚本开头添加空间检查
available_space=$(df -P /tmp | awk 'NR==2 {print $4}')
if [ "$available_space" -lt 1048576 ]; then  # 小于1GB时停止
    echo "Disk space low, stopping capture." >&2
    exit 1
fi