Ubuntu Sniffer如何识别网络入侵

Ubuntu 环境下识别网络入侵的实用方法

一、核心思路与流程

• 明确目标与授权：仅在合法授权的网络与主机上抓包与分析，避免触犯隐私与合规要求。
• 部署嗅探与检测：在关键链路或主机上启用抓包，结合规则匹配与异常基线识别可疑行为。
• 分层工具组合：用tcpdump/Wireshark做流量捕获与细查，用Snort/Suricata做实时规则检测，用Security Onion做一体化监测与取证，用OSSEC做主机侧入侵检测与日志分析。
• 建立基线：统计正常时段的带宽、协议占比、连接数、响应时延等，作为后续异常判定的参考。
• 处置闭环：对确认的恶意源进行封禁/限流，保留PCAP与告警证据，复盘并更新规则/基线。

二、工具与识别要点一览

三、快速上手步骤

• 抓包留存证据
  • 捕获全部接口：sudo tcpdump -i any -w capture.pcap；事后用 Wireshark 打开分析。
• 实时粗筛异常
  • 半开连接激增：sudo tcpdump -i any 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0' | wc -l（短时间内计数异常即告警）。
  • HTTP 可疑特征：sudo tcpdump -i any -A -s 0 'tcp port 80 and (http contains "select" or http contains "union" or http contains "<script>")'。
• 规则检测与联动
  • 部署 Snort/Suricata，启用社区/商业规则集；对命中规则的可疑源 IP 实施iptables 封禁或上游防火墙策略处置。
• 主机侧加固与取证
  • 启用 OSSEC 做登录审计、命令审计、文件完整性校验与主动响应，补齐仅网络侧难以覆盖的攻击面。

四、典型入侵场景与识别特征

• DDoS/流量异常：短时间内出现大流量突发或某类协议占比异常，可结合 iftop/NetHogs 辅助定位占用。
• 端口扫描与探测：连续对不同端口发送 SYN 或异常握手包，连接尝试呈广域扫描特征。
• SQL 注入/XSS 尝试：HTTP 请求或响应中出现select、union、sleep等关键字或脚本片段。
• 暴力破解与异常登录：短时间内大量失败登录、非常规时段登录、来源 IP 频繁变更。
• 恶意软件 C2 通信：与已知恶意域/IP 的长连接、周期性心跳、非常规端口通信。

五、实践建议与合规提示

• 合法合规：抓包与监测仅限于自有或获授权的网络/主机，避免侵犯隐私与合规风险。
• 性能与存储：全量抓包会产生大量数据，建议设置环形缓冲、BPF 过滤与合理的保存周期，关键告警及时落盘与归档。
• 持续运营：定期更新规则集、复盘告警、优化基线，并结合Security Onion等平台实现检测-响应-取证闭环。