Ubuntu Sniffer如何识别网络攻击

Ubuntu 嗅探器识别网络攻击的实用方法

一 工具与安装

• 抓包与分析：tcpdump（命令行）、Wireshark（图形化，协议细粒度解析）
• 实时带宽与连接：iftop（按主机/端口显示速率）、nload（终端可视化）、bmon（带宽监控）
• 历史统计：vnstat（按日/月统计，便于建立基线）
• 进程级流量：nethogs（定位哪个进程占用带宽）
• 安装示例（Ubuntu 22.04+）：
  • sudo apt update && sudo apt install tcpdump wireshark iftop nload bmon vnstat nethogs
  • 图形化抓包授权：sudo usermod -aG wireshark $USER && newgrp wireshark
  • 初始化 vnstat：sudo vnstat -u -i eth0；启动服务：sudo systemctl start vnstat && sudo systemctl enable vnstat
    以上工具覆盖从实时抓包到历史基线的完整链路，适合服务器与桌面环境使用。

二 快速检测流程

• 明确接口与授权：用 ip a 确认接口（如 eth0），仅在获得网络所有者授权下抓包。
• 实时粗筛：用 iftop -i eth0 -P -N 观察异常带宽、异常主机/端口；用 nload 看入/出站是否突增。
• 精准抓包：缩小范围并落盘，便于后续分析
  • sudo tcpdump -i eth0 -n -w capture.pcap
  • 按 IP/端口：sudo tcpdump -i eth0 -n host 192.168.1.100 and port 80
• 回放与深度分析：tcpdump -r capture.pcap；Wireshark 打开 pcap，用显示过滤器聚焦可疑会话与载荷。
• 建立基线：用 vnstat 记录日常带宽/协议占比，作为异常判断参考。

三 常见攻击的识别特征与命令示例

四 自动化与响应建议

• 阈值告警脚本思路：当短时间内捕获到大量 SYN 包即触发告警
  • 示例：sudo tcpdump -i eth0 -c 1000 ‘tcp[tcpflags] & (tcp-syn) != 0 and tcp[tcpflags] & (tcp-ack) = 0’ | mail -s “SYN Flood Alert” admin@example.com
• 处置要点：确认攻击后优先在边界/主机侧限流或封禁来源；保留 pcap 证据；结合系统日志与主机 IDS（如 OSSEC）进行关联验证与持续监测。

五 合规与性能注意

• 合法性：抓包涉及通信内容，务必取得网络所有者授权，避免侵犯隐私或违反法规。
• 权限与最小化：抓包多用 sudo；通过接口/IP/端口过滤减少数据量，避免影响业务性能。
• 数据安全：.pcap 可能含敏感信息，需妥善存储与加密，仅限授权人员分析。