在 Ubuntu 环境中,“Sniffer”通常指两类事物:一是用于排查与审计的网络嗅探工具(如 tcpdump、Wireshark),二是攻击者用于窃取信息的嗅探程序。防止数据泄露的核心思路是:让嗅探者即使抓到包也拿不到有价值内容,并尽量缩小可被嗅探的攻击面与可到达范围。
加密与协议替代
- 用加密通道替代明文协议:将 Telnet/FTP/POP3/IMAP/HTTP 等明文服务替换为 SSH/SFTP/FTPS/IMAPS/POP3S/HTTPS,确保凭据与数据在传输过程中不可被还原。
- 强制使用强认证:SSH 优先采用 密钥登录,禁用 root 直登,必要时更改默认端口并配合 Fail2Ban 降低暴力破解风险。
- 最小权限与零信任:按“最小权限原则”分配账号与 sudo 权限,避免在高价值主机间建立不必要的信任关系。
- 说明:嗅探器本质是被动监听,难以被直接发现,因此“加密优先”是最有效的防护策略之一。
网络分段与交换网络防护
- 优先使用交换式网络与 VLAN 做网络分段,将敏感系统与办公/访客区隔离,缩小单点被嗅探的影响范围。
- 在汇聚/核心交换上启用端口安全与动态 ARP 检测(DAI),限制每个端口可学习的 MAC 数量并抑制 ARP 欺骗,降低通过 ARP 投毒把流量“引到攻击者口”的风险。
- 对关键链路或需要取证分析的场景,使用交换机的**端口镜像(SPAN/RSPAN)**将流量复制到受控的安全分析主机,避免非授权主机直接接入生产网段嗅探。
- 说明:在共享 Hub 环境下,所有端口都会收到同一广播域流量,极易被嗅探;而交换网络与 VLAN 能显著减少可被监听的主机集合。
主机加固与访问控制
- 启用 UFW 等主机防火墙,默认策略设为“拒绝入站、允许出站”,仅对受控来源开放必要端口(如 SSH 22/TCP),并对管理源地址做白名单限制。
- 对嗅探/分析主机本身:仅授予必要人员访问权限,启用 日志审计 与 完整性校验,禁止在生产主机上以 root 日常运行嗅探工具。
- 持续系统更新与安全加固,关闭不必要的服务与端口,减少攻击面与潜在的本地提权路径。
入侵检测与异常发现
- 部署 IDS/IPS(如 Snort 3)对网段流量进行特征与异常检测,识别可疑行为(如异常 ARP、端口扫描、明文凭据传输尝试等),并结合策略进行阻断或告警。
- 在局域网侧进行混杂模式巡检(如周期性扫描网段主机是否处于 promiscuous mode),对异常主机进行溯源与处置。
- 说明:嗅探器是被动工具,网络侧主动检测难度较大,但结合 IDS/IPS 与定期巡检可提升发现概率与响应速度。
快速操作清单
- 加密与认证:用 SSH/SFTP/HTTPS 替代明文协议;SSH 采用密钥登录、禁用 root 直登;开启 Fail2Ban。
- 网络侧:使用交换式网络 + VLAN 分段;启用端口安全/DAI;关键流量走端口镜像到受控分析机。
- 主机侧:启用 UFW(默认拒绝入站、仅白名单放行 SSH);最小权限与日志审计;及时更新补丁。
- 监测与响应:部署 Snort 3 做流量检测与阻断;定期混杂模式巡检;发现异常立即隔离与取证。