总体思路 在CentOS上,嗅探器(如tcpdump、tshark、Wireshark)负责采集与解析网络流量,本身并不等同于恶意软件检测引擎。要识别网络威胁,应将嗅探与入侵指标 IOC、特征规则和异常基线结合:用嗅探捕获流量,用Snort/Suricata等NIDS做特征匹配,用IOC与日志关联做威胁归因,再辅以iftop、nethogs、ss等工具进行流量与进程维度的快速定位。
识别流程
常用工具与命令示例
| 工具 | 主要用途 | 典型命令示例 |
|---|---|---|
| tcpdump | 命令行抓包与过滤 | 抓取管理口全量并写盘:sudo tcpdump -i eth0 -w capture.pcap;仅看某主机与端口:sudo tcpdump -i eth0 'tcp and host 192.168.1.100 and port 22' -n |
| tshark | 命令行深度解析 | 按字段导出可疑 HTTP 请求:tshark -r capture.pcap -Y 'http.request' -T fields -e http.host -e http.user_agent |
| Wireshark | 图形化协议分析与取证 | 打开pcap,用显示过滤器如http contains "SELECT"、dns.qry.name matches "\.ru$"快速定位可疑流量 |
| Snort | 基于规则的 NIDS | 规则示例:alert tcp any any -> any 22 (msg:"Possible SSH brute force"; flow:from_client,established; content:"SSH-"; threshold:type limit, track by_src, count 5, seconds 60; sid:10001;) |
| Suricata | 基于规则的 NIDS/IPS | 与Snort规则生态兼容,支持多线程与更丰富的输出(如EVE JSON) |
| iftop | 实时按连接带宽 | sudo iftop -nN -i eth0 观察异常对端占用带宽 |
| nethogs | 按进程统计带宽 | sudo nethogs -d 2 eth0 定位异常进程外联 |
| ss | 连接与进程关联 | `sudo ss -tunap |
典型威胁识别要点
union select、/etc/passwd、<script>等字符串;对URI、UA异常与高频错误码进行告警与取证。SELECT/INSERT/UPDATE与UNION等关键词,定位SQL 注入尝试与越权访问。实践建议