Linux Sniffer如何进行网络取证

Linux Sniffer 网络取证实操指南

一、取证流程与准备

• 明确目标与范围：锁定事件时间窗（如2026-01-02 14:00–16:00）、涉及的源/目的 IP、端口、协议，以及需要提取的证据类型（如HTTP 明文、凭证、恶意域名、可疑载荷）。
• 合法合规：仅在授权范围内抓包与分析，避免侵犯隐私与触犯法律；对敏感数据按单位证据保全规范处理。
• 最小化影响：优先在镜像口/旁路抓包，必要时对生产流量做采样或限时；避免在高负载设备上长时间全量抓取。
• 工具与权限：准备抓包与解析工具（如tcpdump/tshark/Wireshark），抓包通常需要root或具备相应能力（CAP_NET_RAW）。

二、快速上手抓包与过滤

• 选择接口与输出：优先使用镜像口或any；将原始流量写入**.pcap**以便后续复核与出证。
• 常用抓包命令示例（tcpdump）
  • 抓取指定接口并写盘：sudo tcpdump -i eth0 -w capture.pcap
  • 仅抓取与某主机的通信：sudo tcpdump -i eth0 host 192.168.1.100
  • 仅抓取某端口（如 HTTP）：sudo tcpdump -i eth0 port 80
  • 组合过滤（主机+端口）：sudo tcpdump -i eth0 ‘tcp port 80 and host 192.168.1.100’
  • 限制数量便于快速验证：sudo tcpdump -i eth0 -c 1000
• 命令行解析与导出：使用tshark进行字段化导出与统计
  • 导出 HTTP 主机与 URI：tshark -r capture.pcap -Y ‘http’ -T fields -e http.host -e http.request.uri
  • 按 IP 汇总会话数：tshark -r capture.pcap -q -z conv,tcp
• 图形化分析：用Wireshark打开 .pcap，结合显示过滤器（如 http、dns、tls.handshake）进行细粒度审查。

三、典型取证场景与命令

• 可疑域名与 DNS 隧道
  • 列出所有 DNS 查询与响应：tshark -r capture.pcap -Y ‘dns’ -T fields -e dns.qry.name -e dns.resp.name -e ip.src -e ip.dst
  • 识别长随机子域（常见于隧道）：tshark -r capture.pcap -Y ‘dns.qry.name matches “([a-z0-9]{ 10,} .){ 2,} ”’ -T fields -e dns.qry.name
• HTTP 明文泄露与凭证
  • 提取 HTTP 请求行与 UA：tshark -r capture.pcap -Y ‘http.request’ -T fields -e http.request.method -e http.host -e http.request.uri -e http.user_agent
  • 快速文本检索（如“password”）：tcpdump -r capture.pcap -A | grep -i password
• 可疑外联与横向移动
  • 按目的端口分布：tshark -r capture.pcap -q -z io,stat,1,tcp.port
  • 查找非常见端口会话：tshark -r capture.pcap -Y ‘tcp.port not in { 80 443 22 53} ’
• 扫描与暴力尝试
  • 半开连接探测（SYN 扫描特征）：tshark -r capture.pcap -Y ‘tcp.flags.syn==1 and tcp.flags.ack==0’ -T fields -e ip.src -e tcp.dstport
  • 高频失败登录线索（配合应用日志）：tshark -r capture.pcap -Y ‘http.response.code==401’ -T fields -e ip.src -e http.host
• 大流量与 DDoS 迹象
  • 会话速率与字节统计：tshark -r capture.pcap -q -z conv,tcp
  • 按源 IP 汇总发送字节：tshark -r capture.pcap -T fields -e ip.src -e frame.len | awk ‘{ bytes[$1]+=$2} END { for (ip in bytes) print ip, bytes[ip]} ’ | sort -nr | head
• 取证提示
  • 对疑似恶意域名做多阶段验证（DNS→HTTP→TLS SNI→IP 归属），并保留原始 .pcap 与时间同步记录（如 NTP/chrony 日志）。

四、证据保全与报告

• 原始证据保全
  • 保留原始 .pcap（只读封存），计算并记录SHA-256/SHA-1 校验值；必要时生成取证镜像（dd/ddrescue）。
  • 记录采集时间、接口、过滤规则、操作者、设备信息与案件编号，形成证据链条。
• 工具链与复核
  • 命令行与图形化结合：用 tcpdump/tshark 快速筛查与导出，Wireshark 进行深度协议分析与时间线还原。
  • 辅助排查：结合 iftop、nload、NetHogs 等观察带宽与进程维度异常，帮助定位可疑主机与应用。
• 报告要点
  • 事件概述（时间、范围、影响）、证据清单（文件、校验值、时间线）、关键发现（IOC、可疑会话）、取证过程（命令与过滤表达式）、结论与处置建议（封禁、补丁、溯源）。

五、合规与安全提示

• 仅在明确授权的网络与主机上抓包；对非授权目标的监听可能违法。
• 避免在生产环境长时间全量抓包，控制文件大小与保留周期，防止性能与隐私风险。
• 对敏感数据（如明文凭证、PII）进行脱敏与最小化留存，全程留痕并遵循单位证据管理规范。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！