如何利用Debian Sniffer分析网络攻击 - 问答

在 Debian 上使用嗅探器进行攻击分析

一工具与准备

在 Debian 上常用的嗅探与分析工具包括：命令行的 tcpdump（轻量、适合值守与快速抓包）、图形化的 Wireshark（协议解析与可视化强，适合深度分析）、以及面向攻防对抗的 Zeek（原 Bro，侧重协议行为日志与威胁发现）。安装命令示例：sudo apt-get update && sudo apt-get install -y tcpdump wireshark zeek。抓包通常需要 root 权限或具备 CAP_NET_RAW 能力；务必仅在获得授权的网络与主机上开展分析，避免触犯法律与合规要求。

二快速上手流程

步骤1 明确目标与接口：确定要观察的网段与主机，选择监听接口（如 eth0）。
步骤2 实时捕获与落盘：使用 tcpdump 抓取并写入文件，便于事后复盘与取证。示例：sudo tcpdump -i eth0 -w capture.pcap。
步骤3 基本过滤以减少噪声：按协议、端口、主机过滤，例如仅看 HTTP 流量：sudo tcpdump -i eth0 port 80；或仅看某源/目的：sudo tcpdump -i eth0 src host 192.0.2.10。
步骤4 图形化深度分析：用 Wireshark 打开 capture.pcap，借助协议解析、会话统计、流追踪等功能定位异常。
步骤5 行为级分析：将 pcap 交给 Zeek 生成连接、HTTP、DNS、SSL 等日志，从“谁在和谁通信、用什么协议、何时发生”的维度发现可疑模式。
步骤6 关联取证：结合 Nmap 对可疑主机/端口做补充扫描，核对服务暴露面；必要时与 IDS/IPS 日志关联，形成完整证据链。

三典型攻击的识别方法

攻击类型	关键特征	Wireshark 过滤示例	分析要点
SYN 洪水	单位时间内大量 SYN=1, ACK=0，源 IP 随机、目的端口固定（如 80/443）	tcp.flags.syn==1 && tcp.flags.ack==0	统计单位时间 SYN 数（如 1 秒 > 1000），观察是否伴随半开连接堆积
UDP 洪水	大量 UDP 大包（如长度 > 1000 字节）涌向非业务端口	udp && ip.len>1000	对比基线流量，查看目的端口分布是否异常
SQL 注入	URL 或 POST 含 '、UNION、SELECT、– 等特征	http.request.uri contains “id=” && http.request.uri contains “'”	追踪流查看完整请求与响应，确认是否为应用层注入尝试
Log4j 漏洞利用	HTTP 头/参数含 ${jndi: 占位符	http.request.header contains “${jndi:”	识别 JNDI 加载企图，定位受影响的业务入口
XSS	URL/参数含