Linux Sniffer怎样检测网络入侵 - 问答

Linux Sniffer检测网络入侵的实用方法

一、检测思路与工具分工

使用tcpdump/tshark进行实时抓包与离线分析，快速定位异常会话与可疑载荷。
使用Wireshark做深度协议解析与可视化排查，适合复杂协议的细粒度分析。
使用Snort这类NIDS进行特征规则匹配与自动告警，适合持续监测与合规审计。
配合iftop/NetHogs等带宽与进程级工具，先发现异常占用，再用嗅探器溯源。上述组合能在不同层面覆盖入侵检测的主要路径：流量发现 → 协议细查 → 规则告警。

二、快速上手流程

抓包与落盘：在关键网段或主机上以混杂模式抓包并写入文件，便于事后取证与复盘。示例：sudo tcpdump -i any -w capture.pcap。
精准过滤：只抓取与事件相关的流量，减少噪声。示例：sudo tcpdump -i eth0 -nn host 192.168.1.100 and port 80；对常见服务可用 port 22/80/443 等限定。
图形化细查：将**.pcap导入Wireshark**，用显示过滤器如 ip.addr==x.x.x.x、http、dns 等定位异常请求与响应特征。
命令行深度解析：无图形环境用tshark提取关键字段，例如：tshark -r capture.pcap -Y http -T fields -e http.host -e http.request.uri；实时可：tshark -i eth0 -f “port 80” -T fields -e http.host -e http.request.uri。
规则告警：部署Snort并加载规则集，对扫描、溢出、恶意载荷等进行自动识别与告警，适合7×24持续监测。

三、常见入侵特征与对应抓包识别方法

威胁类型	抓包/过滤要点	可观察特征
端口扫描/探测	tcpdump -nn -i any ‘tcp[tcpflags] == tcp-syn and not tcp[tcpflags] == tcp-ack’ 或 ‘arp’	同一源对多端口/多主机的SYN洪泛；大量ARP请求
DoS/DDoS	iftop/NetHogs 发现异常带宽；tcpdump 观察异常流量突发	某IP或少量IP占满带宽；大量并发连接/畸形包
暴力破解 SSH	tcpdump -nn -i any ‘tcp port 22 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)’	短时间内大量SSH连接尝试、失败重连
Web 攻击（SQLi/XSS）	tshark -r capture.pcap -Y ‘http’	HTTP请求参数中出现可疑 SQL 片段或脚本标签
可疑 DNS 行为	tshark -r capture.pcap -Y ‘dns’	异常DNS查询频率、DGA 类随机域名、C2 域名解析
以上方法结合“先发现异常、再定位特征”的顺序，可较快从海量流量中筛出可疑行为线索。

四、部署与合规要点

0 赞

0 踩