如何通过Linux Sniffer检测入侵

时间2025-12-09 20:24:03发布访客分类主机资讯浏览1029

导读：使用 Linux Sniffer 检测入侵的实用流程一工具选型与定位抓包与快速排查：使用tcpdump进行实时捕获与BPF过滤，或将流量落盘后用Wireshark做深度协议分析。适合临时排查、验证可疑连接与重现问题。持续检测与告警...

使用 Linux Sniffer 检测入侵的实用流程

一工具选型与定位

抓包与快速排查：使用tcpdump进行实时捕获与BPF过滤，或将流量落盘后用Wireshark做深度协议分析。适合临时排查、验证可疑连接与重现问题。
持续检测与告警：部署Snort作为NIDS（网络入侵检测系统），基于规则对流量进行模式匹配并生成告警，适合常态化监测与取证。
主机侧补充：配合OSSEC等HIDS从日志与系统行为侧发现入侵线索，与网络侧嗅探形成互补。

二快速上手 tcpdump 发现可疑流量

安装与基础捕获：在目标主机安装 tcpdump，监听所有接口或指定网卡，观察异常连接与异常端口。示例：sudo apt-get install tcpdump；sudo tcpdump -i any 或 sudo tcpdump -i eth0。
只抓取关键流量：用BPF表达式聚焦常见攻击面，例如 HTTP/HTTPS、数据库、SMB、SSH 等。示例：sudo tcpdump -i eth0 port 80 or port 443 or port 3306 or port 445 or port 22。
落盘与事后分析：将流量写入文件，便于用 Wireshark 细查载荷与重放分析。示例：sudo tcpdump -i any -w capture.pcap。
图形化分析：在桌面环境安装Wireshark并打开 pcap 文件，结合协议树、追踪流与显示过滤器定位可疑会话与攻击特征。

三用 Snort 搭建持续入侵检测

三种工作模式：
- 嗅探器：snort -v[-d][-X]，打印包头/应用层/原始包；
- 数据包记录器：snort -l < 目录> [-b]，将包记录到文件（二进制更快）；
- 入侵检测模式：snort -c < snort.conf>，载入规则库进行实时检测与告警。
最小可用配置步骤：
1. 安装 Snort；2) 准备规则目录与本地规则文件（如**/etc/snort/rules/local.rules**）；3) 校验配置：snort -T -c /etc/snort/snort.conf；4) 启动检测：snort -A fast -d -h < HOME_NET> -l < 日志目录> -c /etc/snort/snort.conf（前台）或加**-D**后台运行；5) 查看告警：tail -f /var/log/snort/alert。
规则与特征示例：在local.rules中加入针对本机业务的精细化规则，例如检测对3306端口的可疑访问：
alert tcp any any -> $HOME_NET 3306 (msg:"Suspicious MySQL access"; flow:to_server,established; content:"|0A 00 00 01 85 04 00 00 80|root|00|"; classtype:protocol-command-decode; sid:1000001; rev:1; )
提示：生产环境建议启用官方/社区规则集，并按需微调，避免漏报与误报。
规则维护与自动化：使用PulledPork自动下载与更新规则，示例：pulledpork.pl -c /etc/snort/pullpork.conf -l，并加入crontab每日更新。

四常见攻击的抓包识别要点

五合规与性能注意事项

合法授权：仅在自有网络/明确授权范围内抓包与分析，避免触犯隐私与合规要求。
性能影响：嗅探与全量日志会带来CPU/磁盘/内存压力；合理设置BPF 过滤、采样/切分文件、控制保存时长，必要时采用远程抓包/镜像端口降低本机负载。
持续运营：保持规则库更新、定期审计告警与误报、与主机侧HIDS/日志联动，形成闭环响应。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！