如何使用Linux Sniffer进行安全审计

一、前期准备：选择工具与合法授权
使用Linux Sniffer进行安全审计前，需先选择合适的工具并明确授权范围。常用工具包括：

• 命令行工具：tcpdump（轻量级、适合快速捕获）、Netcap（生成结构化审计记录）；
• 图形化工具：Wireshark（可视化分析、功能全面）。
  关键前提：必须在合法授权范围内使用（如企业内部网络、获得用户同意），禁止未经授权监控他人网络流量，避免侵犯隐私或违反《网络安全法》等法律法规。

二、安装Sniffer工具
根据Linux发行版选择对应安装方式：

1. Debian/Ubuntu系统：
   • tcpdump：sudo apt-get install tcpdump -y；
   • Wireshark：sudo apt-get install wireshark -y（需确认是否安装libpcap-dev依赖）。
2. CentOS/RHEL系统：
   • tcpdump：sudo yum install tcpdump -y；
   • Wireshark：sudo yum install wireshark -y。
3. 源码编译安装（如netsniff）：
   • 安装依赖：sudo yum groupinstall "Development Tools" -y + sudo yum install ncurses-devel zlib-devel awk flex quilt git-lfs openssl-devel xz -y；
   • 克隆源码：git clone https://github.com/netsniff/netsniff.git && cd netsniff；
   • 编译安装：make && sudo make install；
   • 配置文件：默认路径为/etc/netsniff/netsniff.conf（可修改接口、过滤规则等参数）。

三、捕获网络流量
使用Sniffer捕获流量的核心命令：

• 基础捕获：sudo tcpdump -i eth0（-i指定接口，如eth0、wlan0；默认捕获所有流量）。
• 过滤流量：通过**BPF（Berkeley Packet Filter）**语法缩小范围，提升审计效率：
  • 按协议过滤：sudo tcpdump -i eth0 icmp（仅捕获ICMP流量，如ping请求）；
  • 按端口过滤：sudo tcpdump -i eth0 port 80（捕获HTTP流量）；
  • 按IP过滤：sudo tcpdump -i eth0 src 192.168.1.100（捕获来自指定IP的流量）；
  • 组合过滤：sudo tcpdump -i eth0 tcp and port 443（捕获HTTPS流量）。
• 保存捕获文件：sudo tcpdump -i eth0 -w capture.pcap（-w将流量保存到capture.pcap文件，便于后续分析）。

四、分析捕获数据

1. 命令行快速分析：
   • 查看捕获文件内容：sudo tcpdump -r capture.pcap（-r读取文件）；
   • 统计流量信息：sudo tcpdump -r capture.pcap | wc -l（统计数据包数量）；sudo tcpdump -r capture.pcap | awk '{print $3}' | cut -d. -f1 | sort | uniq -c（统计源IP分布）。
2. 图形化深度分析（Wireshark）：
   • 打开文件：wireshark capture.pcap；
   • 过滤分析：使用显示过滤器（如http.request.method == POST查看POST请求、tcp.analysis.retransmission查看重传包）；
   • 识别威胁：通过“专家信息”（Analyze→Expert Info）查看异常事件（如SYN Flood、DNS放大攻击）。

五、识别常见安全威胁
通过Sniffer捕获的流量，可识别以下典型安全威胁：

• DDoS攻击：表现为异常高流量（如eth0接口流量突然超过1Gbps）、大量SYN包（tcp.flags.syn == 1）且无ACK响应；
• SQL注入尝试：HTTP请求中包含SQL关键字（如' OR 1=1 --、SELECT * FROM users），可通过tcpdump -i eth0 'port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x53454c45'过滤SELECT语句；
• XSS攻击：HTTP响应中包含JavaScript代码（如<script>alert('xss')</script>），可通过Wireshark的“响应内容”过滤查看；
• 端口扫描：短时间内向多个端口发送探测包（如nmap -sS 192.168.1.1会产生大量SYN包）。

六、配合其他工具增强审计能力
为提升审计全面性，可结合以下工具：

• iftop：实时查看带宽占用情况（sudo iftop -i eth0），识别占用高带宽的IP或进程；
• NetHogs：按进程统计流量（sudo nethogs eth0），定位异常流量的来源程序；
• SSH隧道：远程监控时，通过ssh -L 12345:localhost:12345 user@centos_ip建立隧道，在本地运行tcpdump -i eth0 -w - | nc -l -p 12345将流量转发到本地，避免直接暴露监控接口。

七、注意事项

1. 性能影响：Sniffer会捕获所有流量，可能占用大量CPU、内存和磁盘空间。建议限制捕获范围（如仅监控特定接口、端口），或使用-c参数限制捕获数量（如sudo tcpdump -i eth0 -c 100捕获100个包后停止）。
2. 数据安全：捕获的流量可能包含敏感信息（如密码、银行卡号），需加密存储（如将capture.pcap存放到加密分区）或定期删除；禁止未经授权分享捕获文件。
3. 日志管理：配置Sniffer生成审计日志（如sudo tcpdump -i eth0 -w /var/log/tcpdump.log），并定期备份日志，便于后续追溯。