1. DDoS攻击(分布式拒绝服务攻击)
通过捕获网络流量并分析其特征,识别异常的高流量(如带宽突然占满)、大量SYN_RECV状态的半连接(TCP SYN Flood)、或针对特定服务端口(如80、443)的集中请求,判断是否存在DDoS攻击。
2. SQL注入攻击
检测HTTP请求数据包中是否包含SQL关键字(如union select
、or 1=1
、--
注释符),或数据库进程(如mysqld)出现CPU异常升高、响应延迟增加的情况,识别针对数据库的SQL注入尝试。
3. 跨站脚本攻击(XSS)
分析HTTP响应数据包中的内容,查找可疑的脚本代码(如<script>
标签、JavaScript事件处理函数onerror
、onload
),判断是否存在向网页注入恶意脚本的XSS攻击。
4. 恶意软件攻击
通过捕获流量识别恶意软件的行为特征:
xmrig
、kworker
等异常进程,或向矿池(如pool.minexmr.com
)发送加密流量;/tmp
目录下生成未知可执行文件),服务器对外疯狂扫描其他IP(如端口22、445的SYN包激增);.lock
、.encrypted
),/tmp
目录下出现未知可执行文件(如wget
/curl
下载可疑文件)。5. ARP欺骗攻击
监控ARP流量(arp -a
命令),识别异常网关MAC地址(与正常网关不一致)、内网通信异常(如访问网关的流量指向陌生IP),或tcpdump
捕获到大量ARP请求/应答报文(远超正常水平),判断是否存在ARP欺骗。
6. DNS劫持攻击
检查DNS解析结果是否异常(如ping google.com
解析到非官方IP,或与正常DNS记录不符),或resolv.conf
文件被篡改(添加了陌生DNS服务器),识别DNS劫持行为。
7. 暴力破解攻击
分析认证日志(如/var/log/secure
)中的失败记录(Failed password
条目激增)、ss -antp
命令显示的22(SSH)、3389(RDP)端口大量连接,或捕获到包含用户名/密码的明文数据包(如username=admin&password=123456
),判断是否存在暴力破解。
8. 数据包注入攻击
通过捕获原始数据包,识别异常的数据包结构(如IP头部校验和错误、TCP序列号异常)、不符合协议规范的内容(如在HTTP流量中插入额外的TCP segment),或tcpdump
显示大量异常数据包(如源IP为自己的IP但目的IP为其他主机),判断是否存在数据包注入。
9. 恶意代理/隧道攻击
检测是否存在可疑的隧道工具进程(如socat
、nc
、iodine
),或服务器对外大量使用443(HTTPS)、80(HTTP)端口连接外部IP(如连接到陌生国家的服务器),或iptables
规则被修改(添加了允许异常端口的规则),识别恶意代理或隧道行为。