Ubuntu 环境下识别网络入侵的实用方法
一、核心思路与流程
二、工具与识别要点一览
| 工具 | 类型 | 识别思路 | 典型命令或用法 |
|---|---|---|---|
| tcpdump | 抓包/分析 | 关键字与协议异常初筛(SYN 洪泛、畸形包、可疑 UA、非常规端口) | 实时抓包:sudo tcpdump -i any;保存:sudo tcpdump -i any -w capture.pcap;HTTP 流量:sudo tcpdump -i any port 80 |
| Wireshark | 图形化分析 | 深度解析协议、重放可疑会话、提取负载特征(SQLi、XSS 特征串) | 打开 capture.pcap,用显示过滤器如 http contains "select"、http contains "<script>" |
| Snort | NIDS/NIPS | 基于规则的签名检测(溢出、扫描、CGI 攻击、SMB 探测、OS 指纹等) | 规则命中即告警,可联动防火墙处置 |
| Suricata | IDS/IPS/NSM | 多线程规则引擎与协议识别,支持文件提取与威胁情报匹配 | 与 Snort 类似的规则驱动检测 |
| Security Onion | 一体化平台 | 集成Snort/Suricata、全流量捕获、可视化与取证工作台 | 适合快速落地企业级监测与响应 |
| OSSEC | HIDS | 主机日志与文件完整性监控、Rootkit 检测、主动响应 | 集中管理与告警,补足网络侧盲区 |
三、快速上手步骤
sudo tcpdump -i any -w capture.pcap;事后用 Wireshark 打开分析。sudo tcpdump -i any 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0' | wc -l(短时间内计数异常即告警)。sudo tcpdump -i any -A -s 0 'tcp port 80 and (http contains "select" or http contains "union" or http contains "<script>")'。四、典型入侵场景与识别特征
五、实践建议与合规提示