怎样用dumpcap进行网络审计
导读:使用 Dumpcap 进行网络审计的实操指南 一 环境准备与权限配置 安装工具:在 Debian/Ubuntu 上安装 Wireshark 套件(内含 Dumpcap)或仅安装 Dumpcap。 安装命令:sudo apt update...
使用 Dumpcap 进行网络审计的实操指南
一 环境准备与权限配置
- 安装工具:在 Debian/Ubuntu 上安装 Wireshark 套件(内含 Dumpcap)或仅安装 Dumpcap。
- 安装命令:
sudo apt update & & sudo apt install wireshark或sudo apt install dumpcap - 验证版本:
dumpcap --version
- 安装命令:
- 权限最小化(推荐):
- 方式一:为二进制授予能力集
sudo setcap 'cap_net_raw,cap_net_admin+ep' /usr/bin/dumpcap
- 方式二:将用户加入 wireshark 组(安装 wireshark-common 后可用)
sudo adduser $USER wireshark,随后重新登录使组生效
- 方式一:为二进制授予能力集
- 接口查看:确认要监听的网卡名称
ip a或ifconfig
二 快速上手与常用命令
- 列出接口:
dumpcap -D - 捕获到文件(指定网卡与输出):
sudo dumpcap -i eth0 -w capture.pcap - 捕获过滤器(BPF,减少无关流量):
- 仅 HTTP:
sudo dumpcap -i eth0 -f "tcp port 80" -w http.pcap - 仅某主机:
sudo dumpcap -i eth0 -f "ip.addr == 192.168.1.100" -w host.pcap
- 仅 HTTP:
- 环形缓冲(避免磁盘被写满):
- 单个文件最大 100MB、保留 10 个:
sudo dumpcap -i eth0 -w audit.pcap -a filesize:100000 -a files:10
- 单个文件最大 100MB、保留 10 个:
- 限制包数(快速取样):
sudo dumpcap -i eth0 -c 1000 -w sample.pcap - 实时分析(管道到 Wireshark):
sudo dumpcap -i eth0 -w - | wireshark -r - - 多接口同时捕获:
sudo dumpcap -i eth0 -i wlan0 -w multi.pcap - 显示时间戳:
sudo dumpcap -i eth0 -w out.pcap -t ad - 提高性能(缓冲):
sudo dumpcap -i eth0 -B 1048576 -w perf.pcap - 以上命令中的接口名、端口、IP、文件路径可按实际环境替换。
三 审计场景与命令模板
| 场景 | 命令模板 | 说明 |
|---|---|---|
| Web 流量审计 | sudo dumpcap -i eth0 -f "tcp port 80 or tcp port 443" -a filesize:100000 -a files:10 -w web_audit.pcap |
聚焦 HTTP/HTTPS 流量,环形缓冲防磁盘打满 |
| 可疑主机取证 | sudo dumpcap -i eth0 -f "ip.addr == 10.0.0.42" -w host_10.0.0.42.pcap |
仅抓取与指定 IP 的双向流量 |
| 内网横向移动排查 | sudo dumpcap -i eth0 -f "arp or icmp or (tcp port 135 or 139 or 445 or 3389)" -w lateral.pcap |
关注常见横向移动与探测协议 |
| 全量留存(短期) | sudo dumpcap -i any -w full_$(date +%F_%H%M%S).pcap -a filesize:500000 -a files:5 |
全接口留存,按时间滚动,便于事后分析 |
| 远程实时分析 | `ssh user@host “sudo dumpcap -i eth0 -w -” | wireshark -k -r -` |
| 长时间无人值守 | 0 * * * * /usr/bin/dumpcap -i eth0 -w /var/log/cap_$(date +\%F_\%H\%M\%S).pcap -a filesize:100000 -a files:24 |
通过 cron 每小时轮转一个文件,保留 24 个 |
四 分析与自动化
- 离线分析:
- 图形化:
wireshark audit.pcap - 命令行:
tshark -r audit.pcap -Y "http || dns || smtp"(按协议筛选)
- 图形化:
- 自动化与轮转:
- 使用环形缓冲参数
-a filesize:与-a files:实现自动滚动 - 使用 cron 定时启动新文件,便于归档与清理
- 使用环形缓冲参数
- 性能与稳定性建议:
- 优先在镜像口/网关上抓包,避免影响业务
- 合理设置 BPF 过滤器,减少内核与磁盘压力
- 预估流量与磁盘,必要时增加缓冲(
-B)或缩短轮转周期
五 合规与安全注意事项
- 合法合规:抓包可能触及隐私与合规要求,务必取得明确授权,仅审计被允许的网络与主机,避免在生产高峰长时间全量抓取
- 最小权限:优先使用 cap_net_raw/cap_net_admin 能力或 wireshark 组,避免长期以 root 运行
- 数据安全:抓包文件可能含敏感信息,需加密存储与访问控制,定期清理过期数据
- 资源监控:关注磁盘空间、CPU、内存与网卡负载,必要时分时段、分目标抓取
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: 怎样用dumpcap进行网络审计
本文地址: https://pptw.com/jishu/753647.html