Debian Sniffer如何检测异常流量

Debian Sniffer异常流量检测实操指南

一 工具与思路

• 在 Debian 上，“Sniffer”通常指一类抓包/分析工具（如tcpdump、Wireshark、netsniff-ng等）。检测异常流量的基本思路是：先建立业务基线（协议占比、连接数、包长分布、时段特征），再在嗅探器中用BPF 过滤表达式聚焦关键流量，结合统计与特征规则识别异常，并与系统状态联动验证。抓包工具需要root/特权与混杂模式才能看到全量流量；合规使用是前提。

二 快速发现异常的步骤

• 第一步 先看连接与带宽是否异常
  • 统计总量与状态：ss -s；按状态细分：ss -tan state syn-recv | wc -l（大量SYN_RECV常见于SYN Flood）。
  • Top 来源 IP：ss -tn | awk ‘{ print $5} ’ | cut -d: -f1 | sort | uniq -c | sort -nr | head；按本地端口看激增服务：ss -tn | awk ‘{ print $4} ’ | cut -d: -f2 | sort | uniq -c | sort -nr。
  • 实时带宽与对端：iftop -P（按源/目的IP与端口定位“谁在猛传”）。
  • 历史趋势核对：vnstat -l（确认是否与业务峰值一致）。
• 第二步 定向抓包锁定证据
  • 抓可疑对端：sudo tcpdump -i eth0 -w suspicious.pcap host 1.2.3.4 and port not 22（排 SSH 噪声）。
  • 快速看握手异常：tcpdump -i eth0 -nn ‘tcp[tcpflags] & (tcp-syn|tcp-fin) != 0’（短连接/频繁建断）。
  • 只写不读疑似扫描：tshark -r capture.pcap -Y “tcp.flags.syn==1 & & tcp.flags.ack==0” | awk ‘{ print $3} ’ | sort | uniq -c | sort -nr（SYN 洪水/半开扫描特征）。
• 第三步 用统计与特征规则判定
  • 阈值示例：1 秒内新建连接数 > 50 的源 IP（ss -nt | awk … | awk ‘$1 > 50’）。
  • 端口与协议异常：非 80/443 上的 HTTP 流量（常见于隧道/隐蔽通道）；UDP 流量中携带 GET/POST/HTTP/ 字符串（疑似 DNS/其他隧道）。
  • 包长与重复：大量 < 64 字节（ACK 洪水/低速率攻击）或 > 1500 字节（分片/异常大载荷）；完全重复包（重放/环路）。

三 常见异常与对应检测命令

四 自动化与长期监测

• 建立基线：按时段/业务统计协议占比、包长分布、连接数、Top 对端，形成阈值与告警策略（如“1 秒 > 50 新建连接的源 IP 告警”）。
• 联动处置：对确认的恶意源，先用iptables/firewalld封禁，再结合上游清洗/限速；对可疑流量做PCAP 留存便于取证。
• 工具扩展：在嗅探分析之外，可引入Snort（基于规则的 IDS/IPS）做特征检测与阻断，形成“嗅探定位 + 规则检测”的双通道。

五 合规与性能注意

• 合规：抓包涉及通信内容，务必取得明确授权，避免侵犯隐私或违反法规。
• 性能：抓包与深度解析资源占用高，建议限制抓包时长/文件大小、过滤无关流量、必要时只在关键时段/接口启用。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！