如何使用Ubuntu Sniffer进行网络安全分析

在 Ubuntu 上使用抓包工具进行网络安全分析

一 工具选择与安装

• 在 Ubuntu 上，“Sniffer”通常指一类抓包与分析工具，而非单一软件。常用组合为：
  • tcpdump：命令行抓包，轻量高效，适合快速捕获与过滤。
  • Wireshark：图形化协议分析器，适合深度解析与可视化排查。
  • 辅助命令如 tshark（Wireshark 的 CLI）便于批量统计与自动化处理。
• 安装示例：
  • sudo apt update && sudo apt install -y tcpdump wireshark
  • 如需非 root 抓包，可在安装时选择“允许非超级用户捕获数据包”。

二 快速上手抓包与过滤

• 选择网卡并开始捕获：sudo tcpdump -i any（或指定接口如 eth0）。
• 保存到文件以便后续分析：sudo tcpdump -i any -w capture.pcap。
• 常用过滤表达式（BPF 语法）：
  • 仅某主机：host 192.168.1.10
  • 仅某端口：port 80 或 port 443
  • 某协议：icmp、tcp、udp
  • 组合示例：tcp and src host 10.0.0.5 and dst port 22
• 读取与分析：tcpdump -r capture.pcap；复杂分析建议用 Wireshark 打开 pcap 文件。

三 典型攻击与异常的检测方法

• 端口扫描（SYN 扫描特征）
  • 检测命令：sudo tcpdump -i any ‘tcp[tcpflags] & (tcp-syn) != 0 and tcp[tcpflags] & (tcp-ack) == 0’
  • 判读要点：短时间内对多个端口出现大量 SYN 且无 ACK 回应，疑似扫描。
• ARP 欺骗
  • 检测命令：sudo tcpdump -i any arp
  • 判读要点：同一 IP 对应多个 MAC，或频繁异常 ARP 响应。
• ICMP 异常
  • 检测命令：sudo tcpdump -i any ‘icmp[0] != 8 and icmp[0] != 0’
  • 判读要点：非回显请求/应答的 ICMP 大量出现，可能用于探测或 DoS。
• HTTP 层攻击线索（SQL 注入、XSS）
  • 方法：在 Wireshark 中过滤 http，检查 URI/POST 数据中是否含可疑字符（如 '、