Linux Sniffer网络安全审计实操指南
一 审计流程与准备
二 工具选型与定位
| 工具 | 主要用途 | 典型场景 |
|---|---|---|
| tcpdump | 命令行抓包与基础过滤 | 快速落地、脚本化采集、远程服务器排障 |
| Wireshark/tshark | 深度协议解析与可视化分析 | 取证、复杂协议问题定位 |
| iftop | 按主机对实时带宽占用 | 发现异常外连与突发带宽 |
| nload | 接口级入/出向流量趋势 | 持续观察接口负载 |
| nethogs | 按进程统计带宽 | 定位哪个进程占用带宽 |
| Etherape | 可视化节点/协议关系 | 直观识别异常通信拓扑 |
| ntop | 流量分类与历史统计 | 长期流量画像与异常趋势 |
| 以上工具覆盖从实时监测到取证分析的完整链路,建议组合使用以提升效率与准确性。 |
三 抓包与取证步骤
四 异常检测与审计要点
五 合规与性能最佳实践