Linux Sniffer可检测的恶意流量范围
核心能力与边界
可识别的恶意流量类型
| 类别 | 典型特征(嗅探可见) | 常用线索或命令示例 |
|---|---|---|
| DDoS/异常流量洪泛 | 某协议/端口出现突发高并发流量、巨量相似请求、带宽占用异常 | 实时抓包观察流量峰值与连接数;用iftop/NetHogs辅助定位占用;示例:sudo tcpdump -i eth0 |
| 端口扫描与主机探测 | 短时间内对大量端口进行连接尝试(SYN 扫描等),或 ICMP/ARP 异常频繁 | 过滤常见探测端口与协议;示例:sudo tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn) != 0' and 'tcp portrange 1-1024' |
| 暴力破解与登录异常 | 针对SSH/SMTP/HTTP等服务的连续失败登录、重复认证握手 | 按源/目的端口与失败关键词过滤;示例:`sudo tcpdump -i eth0 port 22 and 'tcp[tcpflags] & (tcp-rst |
| Web 攻击特征 | SQL 注入、XSS 等攻击载荷出现在 HTTP 请求/响应中(明文可见) | 抓取 HTTP 流量并检索关键字;示例:`sudo tcpdump -i eth0 -A -s 0 ‘tcp port 80 or 443’ |
| 恶意软件通信(C2/下载) | 与已知恶意域名/IP 的异常外联、可疑DNS查询、非常规端口通信、周期性心跳 | 按可疑域名/IP 过滤;示例:sudo tcpdump -i eth0 host 203.0.113.45 or port 4444 |
| 协议滥用与隧道 | 非标准端口承载HTTP/SMTP等应用、异常的ICMP/DNS载荷、可疑SMB爆破 | 协议与端口错配检测;示例:sudo tcpdump -i eth0 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply' -vv |
| ARP 欺骗与局域网攻击 | 同一 MAC 对应多个 IP 的 ARP 响应、网关 MAC 异常变更 | 抓取 ARP 流量观察冲突;示例:sudo tcpdump -i eth0 -nn arp |
| 上述条目中,嗅探器可直接观察到的包括:DDoS 异常流量模式、Web 攻击载荷特征、端口扫描行为、以及恶意软件外联迹象等;同时,嗅探器也可作为发现暴力破解与协议滥用线索的前端手段。 |
快速上手命令示例
sudo tcpdump -i eth0 -w capture.pcapsudo tcpdump -i eth0 host 目标IP and tcpsudo tcpdump -i eth0 -A -s 0 'tcp port 80 or 443'sudo tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn) != 0' and 'tcp portrange 1-1024'capture.pcap,使用显示过滤器聚焦可疑 IP、端口或 HTTP 内容。局限与联动建议
合规与性能提示