如何用Linux Sniffer检测DDoS攻击

用 Linux Sniffer 检测 DDoS 的实操指南

一 核心思路与工具

• 在 Linux 上，所谓 Sniffer 通常指基于 libpcap 的抓包与分析工具（如 tcpdump、tshark/Wireshark），配合 iftop、nethogs、nload、vnStat、sar、ip -s link 等实时与统计工具，可快速发现异常流量并定位问题。Sniffer 通过捕获并解析 TCP/UDP/ICMP 等协议，识别突发大流量、异常协议占比、特定端口滥用等 DDoS 迹象，并可与 iptables/firewalld 联动做应急阻断与取证。

二 快速检测流程

• 建立基线：先用统计工具观察一段时间的正常水平（带宽、pps、协议占比、活跃连接数）。例如：
  • 实时带宽与峰值：nload
  • 按连接/主机带宽：iftop
  • 按进程带宽：nethogs
  • 历史与接口统计：vnStat、sar -n DEV 1、ip -s link
• 发现异常：当带宽、pps 或某协议/端口占比出现突发尖峰、或某几个源 IP 占去大部分带宽时，进入抓包取证。
• 精准抓包：在受影响接口以混杂模式抓取，并写入文件以便离线分析（如 tcpdump -i eth0 -w capture.pcap）。
• 协议与模式识别：用过滤表达式聚焦可疑流量（如特定端口、SYN 洪泛特征、UDP 小包洪泛、ICMP 洪泛等），结合统计特征（包大小、发送频率、连接状态）判定是否为 DDoS 类型。
• 联动处置：将可疑源/网段加入临时黑名单或限速（如 iptables/firewalld），并保留 pcap 作为取证材料。

三 常用命令与过滤表达式

• 实时观察
  • 接口速率与峰值：nload
  • 按主机对带宽：sudo iftop -i eth0
  • 按进程带宽：sudo nethogs eth0
  • 历史趋势：vnStat -i eth0；系统视角：sar -n DEV 1；接口计数：ip -s link show eth0
• 抓包与回放
  • 抓取全部：sudo tcpdump -i eth0 -w capture.pcap
  • 读取分析：tcpdump -r capture.pcap 或 tshark -r capture.pcap
• 典型过滤（按需组合）
  • 某主机流量：host 203.0.113.10
  • 某端口（如 80/443）：port 80 or port 443
  • 疑似 TCP SYN 洪泛：tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0
  • 疑似 UDP 小包洪泛：udp and (udp[4:2] < = 100)
  • 疑似 ICMP 洪泛：icmp
  • 将可疑源短时丢弃（应急）：sudo iptables -A INPUT -s 203.0.113.10 -j DROP（请谨慎评估业务影响）

四 判别要点与常见 DDoS 特征

• 带宽/pps 异常尖峰，远超基线；接口 RX/TX 计数在短时间内激增。
• 单一或少量源 IP 占去大部分带宽，或来源分布异常集中/分散。
• 协议/端口异常占比：例如 UDP 小包 大量涌现、TCP SYN 标志位异常（大量仅 SYN 的包）、ICMP 洪泛等。
• 连接状态异常：如 SYN_RECV 堆积、半开连接数异常增多。
• 应用层异常：如 HTTP GET/POST 突发且 UA/Referer 高度同质化（配合 httpry/tshark 观察）。

五 取证与缓解建议

• 取证：保留关键时间窗的 pcap（如 tcpdump -i eth0 -G 300 -W 12 -w ddos_%Y%m%d_%H%M%S.pcap 每 5 分钟 轮转 12 个文件），便于后续深度分析与溯源。
• 缓解：
  • 联动防火墙做临时限速/封禁：如 iptables/firewalld 对恶意源或网段限速/丢弃；必要时启用上游清洗服务。
  • 优化内核/连接参数（如 SYN backlog、半开连接回收）以缓解短时冲击（仅在充分测试后实施）。
• 合规与性能：抓包与监控须合法授权；在高流量环境下控制抓包规模与保存时长，避免影响业务与存储。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！