使用Dumpcap进行Debian安全审计的步骤如下:
安装Dumpcap
sudo apt update
sudo apt install wireshark # 安装Wireshark时会自动安装Dumpcap
配置权限(可选)
赋予Dumpcap捕获网络数据包的权限:
sudo setcap 'cap_net_raw,cap_net_admin' /usr/sbin/dumpcap
捕获网络流量
sudo dumpcap -i eth0 -w capture.pcap # 捕获eth0接口流量并保存为文件
sudo dumpcap -i eth0 -w http.pcap -f "tcp port 80"
分析捕获数据
使用Wireshark或tshark分析PCAP文件:
wireshark capture.pcap # 图形化界面分析
tshark -r capture.pcap # 命令行查看
结合系统日志审计
/var/log/syslog、/var/log/auth.log等系统日志,识别异常登录或服务异常。auditd记录系统调用,辅助关联网络流量与系统行为。定期自动化捕获(可选)
通过cron定时运行Dumpcap,例如每日凌晨捕获一次:
crontab -e
# 添加任务:0 0 * * * /usr/bin/dumpcap -i eth0 -w /path/daily_capture.pcap
注意事项:
sudo提权。