Linux Sniffer怎样进行数据包分析 - 问答

Linux Sniffer数据包分析实操指南

一、流程概览

二、常用工具与安装

tcpdump：命令行抓包与分析的“瑞士军刀”，适合服务器与快速排查。
Wireshark/Tshark：图形化与命令行协议分析器，解析能力强大，适合深度分析。
Etherape：可视化网络拓扑与流量统计图，便于直观观察主机间通信关系。
安装示例：
- Debian/Ubuntu：sudo apt-get update && sudo apt-get install tcpdump wireshark
- CentOS/RHEL：sudo yum install tcpdump wireshark（或 dnf install）
  这些工具覆盖了从快速命令行筛选到图形化深度解析的主流需求。

三、从抓包到分析的命令示例

抓取与显示（实时观察）
- 抓取指定接口并显示简要信息：sudo tcpdump -i eth0 -nn -v
写入文件（便于后续分析）
- 保存为 pcap：sudo tcpdump -i eth0 -w capture.pcap
读取与回放分析
- 读取文件：tcpdump -r capture.pcap -nn -X
常用过滤表达式（BPF）
- 按主机：host 192.168.1.10
- 按端口：port 80 or port 443
- 按协议：tcp、udp、icmp
- 组合：tcp and src host 10.0.0.5 and dst port 443
典型分析场景
- HTTP 明文流量：sudo tcpdump -i eth0 -nn -A -s 0 ‘tcp port 80’
- DNS 查询：sudo tcpdump -i eth0 -nn -vvv ‘udp port 53’
- 仅看 TCP 会话握手与挥手：sudo tcpdump -i eth0 -nn ‘tcp[tcpflags] & (tcp-syn|tcp-fin|tcp-rst) != 0’
- 读取后按源/目的 IP 与端口快速筛查：tcpdump -r capture.pcap -nn ‘src host 10.0.0.5 and dst port 443’
  以上命令覆盖抓、存、读与常见过滤用法，适合定位连接建立失败、异常响应、可疑域名解析等问题。

四、异常与攻击识别方法

基线建模与偏差检测：先建立正常时段的带宽、协议占比、响应时延、连接数基线；当出现突发大流量、异常协议调用、连接风暴等显著偏离时判定为可疑。
DDoS/扫描类特征：短时间内出现SYN 洪水、ICMP 洪泛、全端口扫描（多端口连续 SYN/ACK/RST）、UDP 反射放大等。
Web 攻击线索：HTTP 请求中出现可疑 SQL 注入特征（如 ’ or 1=1、union select）、XSS 脚本片段、异常 UA/Referer、失败登录激增。
可疑域名与隧道：大量查询罕见/动态域名、DNS 隧道特征（长随机子域、TXT 负载异常）、异常 TLS SNI/证书与 JA3/JA4 指纹。
工具与方法：用 tcpdump 快速筛出关键流，再用 Wireshark 深入解析载荷；配合 Etherape 观察异常主机互访拓扑。
这些手段可快速从海量流量中捞出“异常信号”，再聚焦取证与处置。

五、性能与合规要点

0 赞

0 踩