Ubuntu Sniffer如何识别异常行为
导读:Ubuntu 环境下识别异常行为的思路与工具 在 Ubuntu 上,识别异常行为通常将“嗅探器”(如 tcpdump、Wireshark)与“检测/统计工具”(如 iftop、nethogs、vnstat、OSSEC、Snort 3)结合使...
Ubuntu 环境下识别异常行为的思路与工具
在 Ubuntu 上,识别异常行为通常将“嗅探器”(如 tcpdump、Wireshark)与“检测/统计工具”(如 iftop、nethogs、vnstat、OSSEC、Snort 3)结合使用:先用嗅探器捕获与过滤流量,再用统计或规则引擎发现偏离基线的行为,并联动主机侧审计定位进程与来源。
识别流程与关键指标
- 建立“正常行为”基线:持续统计一段时间内的带宽使用率、协议占比、连接数/会话时长、服务响应时间等,作为后续比对的参考。
- 实时监测与阈值告警:对突发高密度数据包、异常协议调用、异常端口/方向等进行统计阈值或异常点检测。
- 深度包检测与内容识别:在嗅探器基础上,对HTTP 请求、DNS 查询、ICMP 洪泛等进行内容级规则匹配,识别扫描、注入、隧道等可疑行为。
- 主机侧关联取证:将网络异常与进程 PID、用户、命令行关联,确认是否为合法应用。
- 合规与资源:抓包与日志可能占用CPU/磁盘/内存,需限定抓包时长与采样策略,并在合法授权范围内开展。
工具与命令示例
| 目标 | 工具 | 关键命令或要点 |
|---|---|---|
| 快速发现异常连接与带宽占用 | iftop | sudo iftop -i eth0(按连接实时速率排序,定位异常对端) |
| 按进程定位带宽占用 | nethogs | sudo nethogs(识别异常进程的上传/下载) |
| 接口级流量趋势与历史统计 | vnstat | vnstat -i eth0;vnstat --live(长期趋势与实时速率) |
| 抓包与过滤 | tcpdump | sudo tcpdump -i any -w capture.pcap;sudo tcpdump -i eth0 port 80;sudo tcpdump host 目标IP and tcp |
| 图形化协议分析 | Wireshark | 打开 capture.pcap,用显示过滤器如 http、dns、icmp 等做内容级排查 |
| 主机连接与进程关联 | ss / lsof | sudo ss -tunap;sudo lsof -i(将异常 IP/端口映射到具体进程) |
| 规则/签名型入侵检测 | Snort 3 | 在 local.rules 添加规则:alert icmp any any -> any any (msg:“ICMP Traffic Detected”; sid:10000001; );验证:snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/local.rules;运行:snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/local.rules -i ens33 -A alert_fast -s 65535 -k none |
| 主机行为审计与日志 | OSSEC | sudo apt-get install ossec-hids ossec-hids-client;编辑 /var/ossec/etc/ossec.conf 配置规则;sudo systemctl start ossec-hids & & sudo systemctl enable ossec-hids |
典型异常场景与处置要点
- DDoS/洪泛类:出现ICMP/UDP/HTTP 突发大流量或异常连接数激增。先用 iftop/nload 确认异常方向,再用 tcpdump/Wireshark 按协议过滤抓包,最后用 Snort 规则(如 ICMP 洪泛)或上游设备限速/清洗。
- 扫描与探测:大量SYN 半开、非常见端口访问、连续端口敲门。用 tcpdump 过滤 tcp[tcpflags] & tcp-syn != 0 观察 SYN 风暴,配合 Snort 的扫描规则集。
- Web 攻击迹象:HTTP 请求中出现SQL 注入特征字符串、异常 UA/Referer、可疑脚本内容。用 Wireshark 按 http 过滤并追踪流,定位来源 IP 与路径。
- 可疑 DNS 行为:异常 DNS 查询频率/域名长度/泛域名,可能存在隧道或数据外泄。用 tcpdump/Wireshark 抓 53 端口,结合统计阈值告警。
- 主机进程异常:某进程突然产生大量出站连接。用 nethogs/ss/lsof 快速定位 PID 与命令行,结合 OSSEC 做进程白名单与文件完整性校验。
合规与性能建议
- 仅在获得明确授权的网络与主机上抓包与分析,避免触犯隐私与合规要求。
- 抓包文件可能很大:限定时间窗口与BPF 过滤表达式,必要时只抓取头部或采样;分析后将 pcap 归档压缩。
- 嗅探与检测会带来CPU/内存/磁盘 I/O压力:优先在镜像口/TAP上抓包,生产环境建议采用分布式抓包+集中分析,并保留关键告警与样本。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu Sniffer如何识别异常行为
本文地址: https://pptw.com/jishu/761073.html