Linux Sniffer可识别的攻击类型
一、概念与能力边界
二、基于流量特征可识别的典型攻击
| 攻击类型 | 主要识别线索(在抓包/解析中可见) | 常用工具与过滤示例 |
|---|---|---|
| DDoS/异常流量洪泛 | 某协议/端口出现突发大流量、SYN Flood(大量半开连接)、ICMP/UDP异常洪泛、带宽占用飙升 | 用iftop/NetHogs看占用;tcpdump 示例:tcpdump -i eth0 'tcp[tcpflags] & tcp-syn != 0' -nn |
| 端口扫描/主机探测 | 短时间内对大量端口/多主机发起连接尝试(如 SYN 扫描、NULL/Fin/Xmas 扫描特征) | tcpdump 示例:`tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn |
| ARP欺骗/中间人 | 同一 IP 对应多个MAC、频繁异常的 ARP 响应、网关MAC异常变更 | 抓 ARP 包观察;结合ARPWatch做长期基线比对 |
| Web 攻击特征(明文) | HTTP 请求中出现可疑 SQL 注入片段(如 ' OR 1=1、UNION SELECT)、XSS 脚本标签(如 <script>) |
tcpdump 示例:tcpdump -i eth0 -A -s 0 'tcp port 80 and (http.request or http.response)' |
| 可疑外联/木马通信 | 内网主机与陌生IP/域名建立连接、非常见协议/端口的长连接、周期性心跳 | 先抓包定位可疑对端;配合iftop/NetHogs确认占用进程 |
| 明文协议凭证泄露 | FTP 明文账号口令、POP3/IMAP 明文登录、HTTP Basic Auth 头 | tcpdump 示例:`tcpdump -i eth0 -A -s 0 ‘tcp port 21 or 110 or 143 or 80’ |
| 异常协议行为 | DNS 放大/隧道(异常大量或超长域名查询)、SMB 探测/暴力(异常 SMB 协商/失败响应) | 抓 53/445 端口流量做统计与内容检查 |
| 上述条目中,Web 攻击特征与 DDoS/扫描等异常流量可在抓包层面直接观察到线索;Snort 等基于规则的 IDS 还能对这些行为做自动化签名匹配与告警。 |
三、识别与排查的实操要点
sudo tcpdump -i eth0 -w capture.pcap;必要时只抓关键协议/主机以减少噪声。tcp port 80、icmp、arp。-A/-X 查看应用层内容,搜索关键字(如 script、union select、login)。四、局限与合规提示