怎样用Linux Sniffer检测入侵行为

用 Linux 嗅探器检测入侵的实用流程

一 工具选型与定位

• 抓包与快速排查：使用tcpdump、Wireshark（图形化），适合临时排查与取证。
• 持续检测与规则匹配：部署Snort或Suricata等IDS/IPS，基于特征与协议分析识别攻击。
• 主机侧补充：配合OSSEC做主机行为监控与日志分析，形成主机+网络的立体检测。
• 可视化辅助：用Etherape观察协议/主机流量拓扑，快速发现异常热点。

二 快速上手 tcpdump 发现可疑流量

• 捕获全部接口流量到文件（便于事后分析）：sudo tcpdump -i any -w capture.pcap
• 过滤特定主机的 TCP 会话：sudo tcpdump -i any host 目标IP and tcp
• 仅抓取 HTTP 流量：sudo tcpdump -i any port 80
• 读取并分析已保存的抓包：tcpdump -r capture.pcap
• 提示：抓包通常需要root或具备相应能力；在复杂场景下建议将抓包文件导入Wireshark进行深入协议解析。

三 用 Snort 进行规则化入侵检测

• 安装与准备
  • 安装依赖（示例）：sudo yum install -y epel-release gcc flex bison zlib libpcap pcre libdnet tcpdump
  • 安装DAQ与Snort（示例版本）：从 snort.org 下载并编译安装 DAQ 与 Snort。
• 配置要点
  • 创建目录：sudo mkdir -p /etc/snort /etc/snort/rules /var/log/snort /usr/local/lib/snort_dynamicrules
  • 复制默认配置与映射文件到**/etc/snort**
  • 编辑**/etc/snort/snort.conf**：设置HOME_NET为你的网段，EXTERNAL_NET 为 !$HOME_NET，并配置规则路径。
• 规则与测试
  • 下载规则集（需注册）至**/etc/snort/rules**，或先用社区规则包
  • 语法自检：snort -T -c /etc/snort/snort.conf
  • 控制台告警监听模式：snort -A console -q -c /etc/snort/snort.conf -i eth0
  • 以IDS模式运行并写入日志：snort -c /etc/snort/snort.conf -l /var/log/snort -i eth0
  • 规则维护：可使用PulledPork自动下载与更新规则，降低维护成本。
• 典型检测能力
  • Snort可识别缓冲区溢出、端口扫描、CGI 攻击、SMB 探测、OS 指纹识别等常见攻击特征。

四 用 Suricata 实现并行检测与日志集中

• 安装与配置
  • 安装：sudo yum install -y epel-release suricata（或使用发行版仓库）
  • 主配置：/etc/suricata/suricata.yaml，按需设置接口、日志与规则路径。
• 规则与运行
  • 下载Emerging Threats规则集至**/etc/suricata/rules**
  • 配置自检：suricata -T -c /etc/suricata/suricata.yaml -v
  • 启动检测：suricata -c /etc/suricata/suricata.yaml -i eth0
• 日志与可视化
  • 结合ELK（Elasticsearch + Logstash + Kibana）集中存储与可视化Suricata/Snort告警，便于告警聚合、检索与态势感知。

五 部署与合规要点

• 合法授权：在自有或获授权的网络中抓包与分析，避免触犯隐私与合规要求。
• 部署位置：将嗅探/IDS传感器串接或接入交换机镜像端口，以观察关键链路/网段的全量流量。
• 性能与存储：抓包与日志会占用CPU/磁盘/IO，建议设置合适的BPF过滤、采样与日志轮转策略。
• 持续运营：定期更新规则集、调优告警阈值、复核误报/漏报，并结合主机侧OSSEC与集中日志平台形成闭环。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！