Ubuntu Sniffer如何识别网络攻击 - 问答

Ubuntu 嗅探器识别网络攻击的实用方法

一工具与安装

抓包与分析：tcpdump（命令行）、Wireshark（图形化，协议细粒度解析）
实时带宽与连接：iftop（按主机/端口显示速率）、nload（终端可视化）、bmon（带宽监控）
历史统计：vnstat（按日/月统计，便于建立基线）
进程级流量：nethogs（定位哪个进程占用带宽）
安装示例（Ubuntu 22.04+）：
- sudo apt update && sudo apt install tcpdump wireshark iftop nload bmon vnstat nethogs
- 图形化抓包授权：sudo usermod -aG wireshark $USER && newgrp wireshark
- 初始化 vnstat：sudo vnstat -u -i eth0；启动服务：sudo systemctl start vnstat && sudo systemctl enable vnstat
  以上工具覆盖从实时抓包到历史基线的完整链路，适合服务器与桌面环境使用。

二快速检测流程

明确接口与授权：用 ip a 确认接口（如 eth0），仅在获得网络所有者授权下抓包。
实时粗筛：用 iftop -i eth0 -P -N 观察异常带宽、异常主机/端口；用 nload 看入/出站是否突增。
精准抓包：缩小范围并落盘，便于后续分析
- sudo tcpdump -i eth0 -n -w capture.pcap
- 按 IP/端口：sudo tcpdump -i eth0 -n host 192.168.1.100 and port 80
回放与深度分析：tcpdump -r capture.pcap；Wireshark 打开 pcap，用显示过滤器聚焦可疑会话与载荷。
建立基线：用 vnstat 记录日常带宽/协议占比，作为异常判断参考。

三常见攻击的识别特征与命令示例

攻击类型	主要特征	快速识别命令/过滤
SYN Flood / DoS	大量 SYN 且无对应 ACK，或某 IP 带宽突增	sudo tcpdump -i eth0 ‘tcp[tcpflags] & (tcp-syn) != 0 and tcp[tcpflags] & (tcp-ack) = 0’；iftop 观察单 IP 占满带宽
端口扫描	短时间内对多端口/多主机的 SYN 探测	sudo tcpdump -i eth0 ‘tcp.flags.syn == 1 and tcp.flags.ack == 0’；Wireshark 统计会话分布
SQL 注入 / 应用层攻击	HTTP 请求中出现 ’ OR 1=1 –、UNION SELECT 等特征字符串	Wireshark 显示过滤器：http contains “’ OR 1=1” 或 http contains “UNION SELECT”
异常进程外连	某未知进程持续高带宽外连	nethogs 实时定位进程；结合 tcpdump 按进程对应端口抓包
历史异常对比	当前带宽/协议占比明显偏离常态	vnstat 查看小时/日报表，识别异常峰值与占比变化
以上特征与命令覆盖从网络层到应用层的常见攻击识别路径，适合快速定位与取证。

四自动化与响应建议

阈值告警脚本思路：当短时间内捕获到大量 SYN 包即触发告警
- 示例：sudo tcpdump -i eth0 -c 1000 ‘tcp[tcpflags] & (tcp-syn) != 0 and tcp[tcpflags] & (tcp-ack) = 0’ | mail -s “SYN Flood Alert” admin@example.com
处置要点：确认攻击后优先在边界/主机侧限流或封禁来源；保留 pcap 证据；结合系统日志与主机 IDS（如 OSSEC）进行关联验证与持续监测。

五合规与性能注意

0 赞

0 踩