Ubuntu Sniffer怎样识别可疑活动

时间2025-10-31 01:11:05发布访客分类主机资讯浏览532

导读：1. 安装必要的Sniffer工具在Ubuntu系统中，需先安装核心Sniffer工具（命令行/图形界面），覆盖不同场景需求： tcpdump：命令行轻量级工具，适合实时捕获与基础分析； Wireshark：图形化协议分析器，支持深度解...

1. 安装必要的Sniffer工具
在Ubuntu系统中，需先安装核心Sniffer工具（命令行/图形界面），覆盖不同场景需求：

sudo apt update &
    &
     sudo apt install tcpdump wireshark iftop nethogs vnstat

安装Wireshark后，需将当前用户加入wireshark组以获取非root权限：

sudo usermod -aG wireshark $USER &
    &
     newgrp wireshark

2. 启动Sniffer并捕获目标流量
根据需求选择工具捕获流量，通过过滤条件缩小范围（避免无关流量干扰）：

tcpdump：
- 捕获指定接口（如eth0）的所有流量：sudo tcpdump -i eth0；
- 保存到.pcap文件（后续用Wireshark分析）：sudo tcpdump -i eth0 -w capture.pcap；
- 按IP/端口过滤（如捕获与192.168.1.100的通信或HTTP端口80的流量）：sudo tcpdump -i eth0 host 192.168.1.100 或 sudo tcpdump -i eth0 port 80。
Wireshark：
启动后选择监听接口（如eth0），点击“开始捕获”，实时查看数据包的源/目的IP、端口、协议等信息，可通过顶部过滤栏输入条件（如ip.addr == 192.168.1.100或tcp.port == 80）。

3. 识别可疑活动的核心指标与方法
通过分析流量特征，快速定位异常行为：

DDoS攻击：表现为突发高流量、大量SYN包（无对应ACK）、单一IP占用过高带宽。
识别方法：用iftop查看实时带宽，若某IP流量远超正常水平（如超过100Mbps且持续增长）；用tcpdump捕获并过滤SYN包：sudo tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn) != 0 and tcp[tcpflags] & (tcp-ack) = 0'，若SYN包数量激增且无对应ACK包，则可能为SYN Flood攻击。
SQL注入/端口扫描：
- SQL注入：过滤目标端口为数据库端口（如MySQL的3306）的流量，检查数据包内容是否包含恶意SQL语句（如' OR 1=1 --、UNION SELECT）；
- 端口扫描：过滤tcp.flags.syn == 1（SYN包）且tcp.flags.ack == 0（无ACK）的流量，若短时间内出现大量不同端口的SYN包（如扫描1-1000端口），则为端口扫描行为。
异常进程带宽占用：使用nethogs按进程监控带宽，若某未知可执行文件（如/tmp/malware）持续占用高带宽（如超过50Mbps），可能存在恶意程序（如挖矿软件、木马）。

4. 建立基准线与自动化告警

基准线建模：通过vnstat记录正常流量数据（如每日/每小时带宽使用、协议占比），作为参考标准。初始化接口监控：sudo vnstat -u -i eth0，查看历史报告：vnstat -d -i eth0（每日）或vnstat -h -i eth0（每小时）。
自动化告警：结合tcpdump的-c参数（捕获指定数量数据包）与shell脚本，当流量超过阈值时发送告警。例如，当1分钟内捕获到超过1000个SYN包时，发送邮件给管理员：
```
sudo tcpdump -i eth0 -c 1000 'tcp[tcpflags] &
     (tcp-syn) != 0 and tcp[tcpflags] &
     (tcp-ack) = 0' | mail -s "SYN Flood Alert" admin@example.com
```

5. 注意事项

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！