ubuntu dumpcap如何进行恶意软件分析
导读:Ubuntu 下用 Dumpcap 进行恶意软件流量分析 一 环境准备与权限配置 安装工具:在 Ubuntu 上安装包含 Dumpcap 的 Wireshark 套件,同时准备命令行分析工具 tshark。 命令:sudo apt up...
Ubuntu 下用 Dumpcap 进行恶意软件流量分析
一 环境准备与权限配置
- 安装工具:在 Ubuntu 上安装包含 Dumpcap 的 Wireshark 套件,同时准备命令行分析工具 tshark。
- 命令:
sudo apt update & & sudo apt install -y wireshark tshark
- 命令:
- 权限最小化(推荐):
- 将当前用户加入 wireshark 组:
sudo usermod -aG wireshark $USER - 为 Dumpcap 授予能力:
sudo setcap 'cap_net_raw,cap_net_admin=eip' /usr/bin/dumpcap - 重新登录或重启会话后生效,避免使用 root 直接抓包。
- 将当前用户加入 wireshark 组:
- 接口确认:列出可用网卡:
ip link或dumpcap -D,常见如 eth0、ens33、wlan0。
二 捕获策略与常用命令
- 基本捕获(指定接口):
sudo dumpcap -i eth0 -w malware.pcap - 捕获过滤器(BPF,减少无关流量):
- 仅 DNS:
sudo dumpcap -i eth0 -f "udp port 53" -w dns_only.pcap - 仅 HTTP/HTTPS:
sudo dumpcap -i eth0 -f "tcp port 80 or tcp port 443" -w web_only.pcap
- 仅 DNS:
- 环形缓冲(避免磁盘打满):按文件大小滚动,保留最近 N 个文件
- 命令:
sudo dumpcap -i eth0 -w malware.pcap -a filesize:100000 -a files:10
- 命令:
- 实时分析管道:将抓包实时送入 Wireshark 或 tshark
- Wireshark:
sudo dumpcap -i eth0 -w - | wireshark -r - - tshark:
sudo dumpcap -i eth0 -w - | tshark -r -
- Wireshark:
- 关键提示:Dumpcap 负责“抓”,不负责“判恶意”;识别恶意需结合后续分析工具与规则。
三 恶意流量识别与分析流程
- 用 Wireshark 打开捕获文件(如 malware.pcap),先用显示过滤器聚焦可疑线索:
- 可疑域名/解析:
dns.qry.name contains "malicious"或dns.flags.response == 0 - HTTP 可疑请求:
http.request.uri contains "cmd"、http.user_agent contains "python-requests" - 可疑外连 IP:
ip.addr == < 可疑IP> - TLS 证书线索(SNI/握手异常):
tls.handshake.extensions_server_name contains "bad"或tls.handshake.type == 1
- 可疑域名/解析:
- 协议与行为特征检查:
- 大量 DNS 查询、异常 TXT 记录、DGA 特征(随机子域)
- HTTP 异常 User-Agent、非常规 URI、明文凭证
- TLS 与 HTTPS 无法解密时,结合 SNI、证书颁发者、握手特征
- 长连接、短连接高频心跳、与 C2 端口(如 4444、8080、53)通信
- 用 tshark 做批量统计与线索导出:
- Top 域名:
tshark -r malware.pcap -q -z dns,tree - HTTP 请求统计:
tshark -r malware.pcap -Y "http.request" -q -z http,stat,1 - 导出可疑 URI:
tshark -r malware.pcap -Y "http.request.uri contains 'cmd'" -T fields -e http.host -e http.request.uri - 会话与端点:
tshark -r malware.pcap -q -z endpoints,ip与-z conv,tcp
- Top 域名:
- 与 IDS/IPS 联动识别已知恶意模式:
- 将 pcap 交给 Suricata:
suricata -r malware.pcap -c /etc/suricata/suricata.yaml - 查看 fast.log/eve.json 中的告警,定位规则命中的源/目的、协议与内容特征。
- 将 pcap 交给 Suricata:
四 自动化与取证建议
- 批量分析脚本思路(示例要点):
- 环形捕获:
dumpcap -i eth0 -w /data/cap/malware_$(date +%F_%H%M%S).pcap -a filesize:100000 -a files:20 - 自动统计:
tshark -r $file -q -z dns,tree与tshark -r $file -Y "http.request" -q -z http,stat,1 - 告警聚合:将 Suricata 的 eve.json 导入 ELK 或 Timesketch 做时间线与 IOC 关联
- 环形捕获:
- 取证与隔离:
- 在 隔离网络/沙箱 中执行样本,抓包与系统行为日志(进程、文件、注册表/日志)同步采集
- 保留原始 pcap 与元数据,避免就地修改;对敏感数据做脱敏后再共享
- 性能与合规:
- 控制捕获规模(环形缓冲、BPF 过滤),避免影响业务
- 抓包与分析仅限授权环境,遵守法律与隐私政策
注意:本文仅用于合法的安全研究、授权测试与应急响应。对非授权目标进行网络监听、分析或任何可能危害系统安全的行为可能触犯法律。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: ubuntu dumpcap如何进行恶意软件分析
本文地址: https://pptw.com/jishu/769116.html