怎样用Linux Sniffer检测网络异常

使用Linux Sniffer检测网络异常可按以下步骤操作，核心工具包括tcpdump（命令行）和Wireshark（图形化）：

1. 安装工具

• tcpdump（命令行）：

  # Debian/Ubuntu  
  sudo apt-get install tcpdump  
  # CentOS/RHEL  
  sudo yum install tcpdump  
  

• Wireshark（图形化）：

  # Debian/Ubuntu  
  sudo apt-get install wireshark  
  # CentOS/RHEL  
  sudo yum install wireshark  
  

2. 捕获网络流量

• 实时抓取指定接口流量（如eth0）：

  sudo tcpdump -i eth0  
  

• 保存数据包到文件（后续分析）：

  sudo tcpdump -i eth0 -w capture.pcap  
  

• 过滤特定流量（如HTTP、特定IP）：

  # 抓取HTTP流量（端口80）  
  sudo tcpdump -i eth0 port 80  
  # 抓取与特定IP的通信  
  sudo tcpdump -i eth0 host 192.168.1.100  
  

3. 分析异常流量

• 图形化分析（Wireshark）：
  打开capture.pcap文件，查看数据包的协议类型、源/目标IP、端口、数据内容，识别异常特征（如异常端口、非标准协议、大量重复数据包等）。
• 命令行快速分析：
  • 统计流量来源/去向：

    sudo tcpdump -i eth0 -n -q | awk '{print $3, $5}' | sort | uniq -c  
    

  • 检测异常协议或端口：

    sudo tcpdump -i eth0 -n -vv | grep -E "UDP|ICMP|非标准端口"  
    

4. 常见异常检测场景

• DDoS攻击：检测突发大量流量、异常协议（如UDP Flood）。
• 网络扫描：识别端口扫描（如连续SYN包）、IP扫描（大量不同源IP访问）。
• 协议异常：分析数据包中的异常字段（如HTTP请求中的畸形Header、非标准TCP Flags）。
• 数据包丢失/延迟：通过时间戳对比相邻数据包的间隔，判断是否存在延迟或丢包。

5. 注意事项

• 授权与合规：需提前获取网络使用授权，避免侵犯隐私或违反法规。
• 性能影响：长时间抓包可能占用大量磁盘空间，建议设置-c限制抓包数量或-G定时分割文件。
• 专业分析：复杂异常需结合协议知识（如TCP三次握手异常、DNS劫持特征）判断。

工具推荐：

• 简单快速分析：tcpdump（命令行，适合实时监控）。
• 深度解析：Wireshark（图形化，支持协议解码和过滤规则）。