1. DDoS攻击(分布式拒绝服务攻击)
通过捕获网络流量并分析其特征,识别异常的高流量(如带宽突然占满)、大量SYN_RECV状态的半连接(TCP SYN Flood)、或针对特定服务端口(如80、443)的集中请求,判断是否存在DDoS攻击。
2. SQL注入攻击
检测HTTP请求数据包中是否包含SQL关键字(如union select、or 1=1、--注释符),或数据库进程(如mysqld)出现CPU异常升高、响应延迟增加的情况,识别针对数据库的SQL注入尝试。
3. 跨站脚本攻击(XSS)
分析HTTP响应数据包中的内容,查找可疑的脚本代码(如<script>标签、JavaScript事件处理函数onerror、onload),判断是否存在向网页注入恶意脚本的XSS攻击。
4. 恶意软件攻击
通过捕获流量识别恶意软件的行为特征:
xmrig、kworker等异常进程,或向矿池(如pool.minexmr.com)发送加密流量;/tmp目录下生成未知可执行文件),服务器对外疯狂扫描其他IP(如端口22、445的SYN包激增);.lock、.encrypted),/tmp目录下出现未知可执行文件(如wget/curl下载可疑文件)。5. ARP欺骗攻击
监控ARP流量(arp -a命令),识别异常网关MAC地址(与正常网关不一致)、内网通信异常(如访问网关的流量指向陌生IP),或tcpdump捕获到大量ARP请求/应答报文(远超正常水平),判断是否存在ARP欺骗。
6. DNS劫持攻击
检查DNS解析结果是否异常(如ping google.com解析到非官方IP,或与正常DNS记录不符),或resolv.conf文件被篡改(添加了陌生DNS服务器),识别DNS劫持行为。
7. 暴力破解攻击
分析认证日志(如/var/log/secure)中的失败记录(Failed password条目激增)、ss -antp命令显示的22(SSH)、3389(RDP)端口大量连接,或捕获到包含用户名/密码的明文数据包(如username=admin&password=123456),判断是否存在暴力破解。
8. 数据包注入攻击
通过捕获原始数据包,识别异常的数据包结构(如IP头部校验和错误、TCP序列号异常)、不符合协议规范的内容(如在HTTP流量中插入额外的TCP segment),或tcpdump显示大量异常数据包(如源IP为自己的IP但目的IP为其他主机),判断是否存在数据包注入。
9. 恶意代理/隧道攻击
检测是否存在可疑的隧道工具进程(如socat、nc、iodine),或服务器对外大量使用443(HTTPS)、80(HTTP)端口连接外部IP(如连接到陌生国家的服务器),或iptables规则被修改(添加了允许异常端口的规则),识别恶意代理或隧道行为。