Ubuntu Sniffer 如何做到网络流量控制

作者:袖梨 2026-06-23

Ubuntu 下 Sniffer 与流量控制的定位与组合

Ubuntu Sniffer如何进行网络流量控制

在 Linux 语境中,Sniffer通常指用于抓取与分析网络流量的工具(如 tcpdump),其职责是“观测”而非“限速/整形”。若要进行网络流量控制(限速、延迟、优先级、丢弃等),应使用内核的 tc(Traffic Control) 框架;若需要按规则阻断/放行或限流,可配合 iptables/nftables 使用。典型分工如下:

  • 观测:tcpdump、Wireshark(抓包与分析)
  • 控制:tc(队列/整形/调度)
  • 过滤/限流:iptables/nftables(匹配与动作)
  • 观测带宽与进程:iftop、nethogs、vnstat(辅助定位与验证)上述工具在 Ubuntu 均可直接安装使用。

使用 tc 进行流量整形与限速

  • 典型目标与命令组合
    • 对整个接口做限速(HTB 分层令牌桶)
      sudo tc qdisc add dev eth0 root handle 1: htb default 30sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbitsudo tc class add dev eth0 parent 1:1 classid 1:10 htb rate 20mbit ceil 50mbitsudo tc class add dev eth0 parent 1:1 classid 1:20 htb rate 10mbit ceil 30mbitsudo tc class add dev eth0 parent 1:1 classid 1:30 htb rate 5mbit ceil 5mbitsudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 80 0xffff flowid 1:10sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 443 0xffff flowid 1:20
      说明:将接口总带宽设为 100mbit,把 80/443 分别放入 20/10mbit 的保证带宽(上限 50/30mbit),其余流量进入 5mbit 的默认类。
    • 模拟延迟与抖动(netem)
      sudo tc qdisc add dev eth0 root handle 1: priosudo tc qdisc add dev eth0 parent 1:1 handle 10: netem delay 100ms 20mssudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 22 0xffff flowid 1:1
      说明:对 22 端口之外的流量增加 100ms ± 20ms 延迟,便于测试弱网场景。
    • 清理规则
      sudo tc qdisc del dev eth0 root
  • 常用查看命令
    tc qdisc show dev eth0tc class show dev eth0tc filter show dev eth0

以上命令展示了在 Ubuntu 上使用 tc 实现接口限速、按端口分流、延迟注入与规则清理的常用做法。

按规则丢弃或限流的防火墙手段

  • 使用 iptables 限速(连接速率限制)
    sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 200 -j ACCEPTsudo iptables -A INPUT -p tcp --dport 80 -j DROP
    说明:对访问 80 端口的新连接进行速率限制,超过阈值将被丢弃(常用于缓解 DoS/暴力扫描)。
  • 使用 nftables(现代替代方案,Ubuntu 20.04+ 可用)
    sudo nft add table ip filtersudo nft add chain ip filter input { type filter hook input priority 0 ; }sudo nft add rule ip filter input tcp dport 80 limit rate 25/minute burst 200 acceptsudo nft add rule ip filter input tcp dport 80 drop
  • 规则持久化
    • iptables:
      sudo iptables-save > /etc/iptables/rules.v4
    • nftables:
      sudo nft list ruleset > /etc/nftables.conf

以上示例展示了如何用 iptables/nftables 按规则对特定端口进行速率限制与丢弃,并提供了持久化方法。

用抓包工具验证与定位

  • 实时抓包观察限速/丢包效果
    sudo tcpdump -i eth0 -nn -ttt port 80 or port 443
  • 按条件过滤与导出
    sudo tcpdump -i eth0 -w http_only.pcap tcp port 80
  • 带宽与进程观测(辅助判断控制是否生效)
    sudo iftop -i eth0sudo nethogs eth0vnstat -i eth0

上述工具可帮助你在应用 tc/iptables 前后对比延迟、丢包、吞吐与占用,快速验证策略是否生效。

合规与安全提示

  • 抓包与流量控制可能触及隐私与业务连续性,务必在取得明确授权的网络与主机上操作,先在测试环境验证,再推广到生产。
  • 对线上接口做限速/丢弃前,设置监控告警与回滚方案,避免误伤关键业务。

相关文章

精彩推荐