CentOS Sniffer怎样防止网络入侵

概念澄清与总体思路
“Sniffer”本质是被动抓包工具，擅长发现异常流量，但本身不具备阻断能力。要“防止网络入侵”，应将嗅探与具备阻断能力的机制组合：在关键网段部署带阻断能力的NIDS/IPS（如 Snort 的 inline 模式），配合firewalld/iptables做访问控制，并通过端口镜像把待监测流量复制到嗅探器，同时做好日志留存与告警联动，形成“检测—响应—取证”的闭环。

部署架构与阻断方式

• 旁路镜像监测（推荐先做）：在交换机上将业务口流量镜像到监测口，部署 Snort 仅做告警（避免影响业务）；适合生产环境先观察、后处置。
• 串联 inline 阻断：将 Snort 以 inline 模式串接在链路中，对命中规则的流量直接丢弃/拒绝，实现“检测+阻断”。注意高可用与性能评估。
• 主机本地嗅探：在关键服务器本机运行 Snort 监测本机进出流量，作为纵深防御补充。
• 日志与告警：将告警写入本地与集中日志平台，联动阻断或工单处置。

在 CentOS 上用 Snort 搭建检测与阻断

• 安装与基础配置
  • 安装依赖与 Snort（以 CentOS 7 为例）：启用 EPEL 后执行 yum 安装；或源码编译安装（需 libpcap、pcre、libdnet 等依赖）。
  • 编辑配置文件：设置网络变量（如 HOME_NET/EXTERNAL_NET）、包含规则路径（如 $RULE_PATH/local.rules），并配置日志输出插件（如 unified2）。
• 规则与测试
  • 使用社区规则集（Community Rules），并按需编写自定义规则，例如检测 SSH 暴力登录：
    alert tcp any any -> any 22 (msg:“Possible SSH brute force attack”; flow:from_client,established; content:“SSH-”; threshold:type limit, track by_src, count 5, seconds 60; sid:10001; rev:1; )
  • 语法校验：snort -T -i eth0 -c /etc/snort/snort.conf。
• 运行与阻断
  • 仅检测：snort -A console -c /etc/snort/snort.conf -i eth0
  • Inline 阻断：以 inline 方式运行（具体参数依版本与部署方式而定），命中规则即对流量执行丢弃/拒绝动作。
• 日志与联动
  • 使用 unified2/数据库/系统日志输出，便于集中分析与告警联动。

用防火墙实现自动阻断

• 策略原则：默认拒绝、最小暴露面，仅开放业务必需端口与服务；按源/目的/时间精细化控制。
• firewalld 常用命令（CentOS 7+）：
  • 启动与开机自启：systemctl start|enable firewalld
  • 开放端口：firewall-cmd --zone=public --add-port=80/tcp --permanent & & firewall-cmd --reload
  • 开放服务：firewall-cmd --zone=public --add-service=ssh --permanent & & firewall-cmd --reload
  • 查看规则：firewall-cmd --list-all
• 联动思路：将 Snort 的告警通过脚本解析，提取恶意源 IP，调用 firewall-cmd 动态封禁（例如加入 drop 区或直接拒绝），并设置自动过期与白名单豁免，避免误封与持久化阻断风险。

日志留存与取证加固

• 集中与离线留存：将 /var/log/snort/ 的告警与抓包日志接入集中日志平台（如数据库/ELK），并设置不可变存储与定期归档，防止被入侵者篡改。
• 隐蔽监听与完整性：对高风险环境可采用“无 IP 的 stealth 监听/日志”方式，仅用于接收镜像流量，减少攻击面并提升日志可信度。
• 完整性校验与审计：对关键配置与规则文件做签名校验与变更审计；对日志目录设置最小权限与完整性保护。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！