如何通过Ubuntu Dumpcap分析恶意软件流量
导读:Ubuntu 下用 Dumpcap 捕获并分析恶意软件流量的实操指南 一、环境与权限准备 安装工具:在 Ubuntu 上安装包含 Dumpcap 的 Wireshark 套件,同时准备命令行分析工具 tshark。 命令:sudo ap...
Ubuntu 下用 Dumpcap 捕获并分析恶意软件流量的实操指南
一、环境与权限准备
- 安装工具:在 Ubuntu 上安装包含 Dumpcap 的 Wireshark 套件,同时准备命令行分析工具 tshark。
- 命令:
sudo apt update & & sudo apt install -y wireshark tshark
- 命令:
- 权限配置(推荐最小权限):
- 方式一:授予 Dumpcap 能力,避免长期以 root 运行。
- 命令:
sudo setcap 'cap_net_raw,cap_net_admin=eip' /usr/bin/dumpcap
- 命令:
- 方式二:将当前用户加入 wireshark 组后注销并重新登录。
- 命令:
sudo usermod -aG wireshark $USER
- 命令:
- 方式一:授予 Dumpcap 能力,避免长期以 root 运行。
- 分析原则:Dumpcap 仅负责捕获与写盘,不能直接识别恶意流量;识别需结合 Wireshark/tshark 的深度解析或 Suricata 等 IDS/IPS 的规则引擎。
二、捕获策略与命令示例
- 基本捕获(指定接口):
- 命令:
sudo dumpcap -i eth0 -w capture.pcap
- 命令:
- 多接口与环形文件(长时间取证):
- 命令:
sudo dumpcap -i any -w malware.pcap -a filesize:100 -a files:10 - 说明:单个文件 100 MB,最多 10 个文件,自动滚动,便于持续捕获。
- 命令:
- 捕获过滤(BPF,减少无关流量):
- 仅 DNS:
sudo dumpcap -i any -f "udp port 53" -w dns_only.pcap - 仅 HTTP/HTTPS:
sudo dumpcap -i any -f "tcp port 80 or tcp port 443" -w web_only.pcap
- 仅 DNS:
- 显示过滤(供 Wireshark/tshark 使用,非捕获过滤):
- 示例:
ip.addr == 192.168.1.100、dns.qry.name contains "malicious"、http.host contains "bad.domain"
- 示例:
- 实时分析(管道到 Wireshark GUI):
- 命令:
sudo dumpcap -i any -w - | wireshark -r -
- 命令:
- 常用参数提示:
-s 0(抓取完整帧)、-B 1048576(增大缓冲区,单位 KB)、-v(更详细输出)。
三、恶意流量识别与分析步骤
- 用 Wireshark 打开捕获文件:
- 命令:
wireshark capture.pcap
- 命令:
- 快速定位可疑主机与域名:
- 在显示过滤器输入:
ip.addr == < 可疑IP>、dns.qry.name contains "< 关键词> "、http.host contains "< 可疑域名> " - 观察:异常 DNS 查询、可疑 HTTP User-Agent、非常见 TLS SNI/ALPN、大量短连接等。
- 在显示过滤器输入:
- 协议与行为特征检查:
- 协议分布:统计 HTTP/HTTPS/DNS/SMTP/SMB 等占比,异常协议或端口常是线索。
- 连接特征:查看 重传率、握手异常、长连接/短连接频繁、心跳/Beacon 类定时通信。
- 威胁情报比对:
- 将可疑 IP/域名/URL/哈希 提交至威胁情报平台(如 VirusTotal、AlienVault OTX)进行交叉验证。
- 命令行批量研判(tshark):
- Top 会话:
tshark -r capture.pcap -q -z conv,tcp - DNS 查询清单:
tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.name -e dns.a - HTTP 主机与 UA:
tshark -r capture.pcap -Y "http" -T fields -e http.host -e http.user_agent | sort -u
- Top 会话:
- 自动化检测(Suricata):
- 将 pcap 送入 Suricata 检测:
suricata -r capture.pcap -c /etc/suricata/suricata.yaml - 查看告警:
cat /var/log/suricata/fast.log或suricata -c /etc/suricata/suricata.yaml --list-rules | grep -i < 关键词> - 说明:Suricata 基于规则库识别已知恶意模式,适合批量与自动化研判。
- 将 pcap 送入 Suricata 检测:
四、隔离与合规操作
- 建议在 隔离网络/虚拟机 中执行样本与捕获,避免外联扩散;必要时通过 网关/防火墙 限制样本出站仅到分析主机。
- 长时间捕获会产生大量数据,注意 磁盘空间 与 系统负载;优先使用 环形文件 与 捕获过滤 降低压力。
五、快速命令清单
- 安装:
sudo apt update & & sudo apt install -y wireshark tshark - 最小权限:
sudo setcap 'cap_net_raw,cap_net_admin=eip' /usr/bin/dumpcap - 捕获所有接口并滚动:
sudo dumpcap -i any -w malware.pcap -a filesize:100 -a files:10 - 仅 DNS:
sudo dumpcap -i any -f "udp port 53" -w dns_only.pcap - 实时 GUI:
sudo dumpcap -i any -w - | wireshark -r - - Wireshark 过滤:
ip.addr == 192.168.1.100、dns.qry.name contains "malicious" - tshark 会话:
tshark -r capture.pcap -q -z conv,tcp - Suricata 检测:
suricata -r capture.pcap -c /etc/suricata/suricata.yaml
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: 如何通过Ubuntu Dumpcap分析恶意软件流量
本文地址: https://pptw.com/jishu/760498.html