实用脚本能批量嗅探吗？

wen 实用脚本 2026-06-10 8

本文目录导读：

实用脚本能批量嗅探吗？

批量抓包：基于 tcpdump / tshark 的循环脚本
批量解析与过滤：使用 scapy（Python）
批量远程嗅探：SSH + 分布式脚本
性能与合规提醒（非常重要）
总结：能否做？能。但建议这样做：

批量嗅探”这一需求，需要先明确一点：网络嗅探（Sniffing）通常用于监控和分析网络流量，如果是用于合法目的（如企业内网故障排查、安全审计、个人网络调试），确实有批量处理的脚本化方案；但如果是用于未经授权的窃听、入侵或破坏,则属于违法行为。

以下我为你介绍几种合法、技术可行的批量嗅探脚本思路及应用场景：

批量抓包：基于 `tcpdump` / `tshark` 的循环脚本

这是最直接的“批量”嗅探方式，核心是按时间、按接口或按过滤条件批量生成抓包文件。

场景： 需要连续监控多个网卡，或者按小时/分钟保存流量日志。

示例脚本（Bash）：

#!/bin/bash
# 功能：每60秒轮询两个网卡，分别保存pcap文件
INTERFACES=("eth0" "wlan0")
DURATION=60
OUTPUT_DIR="/data/captures/"
for iface in "${INTERFACES[@]}"; do
    # 为每个网卡启动一个后台抓包进程
    tcpdump -i $iface -G $DURATION -w "${OUTPUT_DIR}${iface}_%Y%m%d_%H%M%S.pcap" &
done
echo "批量嗅探已启动，按Ctrl+C停止所有后台进程"
wait

优化点：

使用 -G 参数自动轮转文件,避免单个文件过大。
配合 -C 限制文件大小（如 -C 100 表示100MB轮转）。

批量解析与过滤：使用 `scapy`（Python）

scapy 是Python的强力网络工具，可以批量读取pcap文件或实时抓包，进行深度解析、数据提取。

场景： 从大量pcap文件中批量提取HTTP请求、DNS查询或特定协议的Payload。

示例代码（Python）：

from scapy.all import *
import os
pcap_dir = "/data/captures/"
target_ip = "192.168.1.100"
for pcap_file in os.listdir(pcap_dir):
    if pcap_file.endswith(".pcap"):
        print(f"正在处理: {pcap_file}")
        packets = rdpcap(os.path.join(pcap_dir, pcap_file))
        for pkt in packets:
            # 批量过滤：只打印与目标IP相关的TCP包
            if pkt.haslayer(TCP) and (pkt[IP].src == target_ip or pkt[IP].dst == target_ip):
                print(f"TCP {pkt[IP].src}:{pkt[TCP].sport} -> {pkt[IP].dst}:{pkt[TCP].dport}")

注意： 纯Python的scapy处理大规模流量较慢,建议用于小规模或离线分析。

批量远程嗅探：SSH + 分布式脚本

如果需要批量嗅探多台远程服务器（需有合法权限）,可以通过SSH分发命令。

场景： 管理100台服务器,需要同时抓取它们的DNS请求。

示例（使用 pdsh 或 ansible）：

# 通过ansible在远程主机上同时启动tcpdump
ansible all -i inventory.ini -m shell -a "nohup tcpdump -i any port 53 -w /tmp/dns_$(hostname).pcap &"

性能与合规提醒（非常重要）

性能消耗： 批量嗅探（尤其是多接口、全包捕获）对CPU/磁盘I/O消耗很大，在Linux上建议使用 afpacket 或 PF_RING 做零拷贝,否则很容易丢包。
存储爆炸： 一个千兆网口的全包抓取，每天可能产生TB级数据，脚本中必须加上：
- 文件大小限制（-C）
- 循环覆盖机制（logrotate）
- 自动清理（find ... -mtime +7 -delete）
法律边界： 脚本本身不违法，但使用方式违法，在未授权网络（如邻居Wifi、公司未经批准的网段）上运行上述脚本，在中国可能违反《网络安全法》第27条。