使用 Linux Sniffer 检测恶意流量的实用流程
一 工具选型与部署
- 抓包与离线分析
- 使用 tcpdump 进行快速抓包与过滤,并将结果写入 pcap 文件以便后续分析。
- 使用 Wireshark 进行图形化深度分析,适合排查可疑会话与协议细节。
- 实时检测与联动
- 部署 Snort 或 Suricata(开源 IDS/IPS),通过规则引擎识别攻击特征,并可联动防火墙进行阻断。
- 辅助观测
- 结合 iftop、NetHogs 观察带宽占用与进程级流量,快速定位异常主机或应用。
二 快速上手 tcpdump 捕获与过滤
- 基础捕获
- 捕获指定接口:sudo tcpdump -i eth0
- 捕获所有接口:sudo tcpdump -i any
- 写入文件便于离线分析
- sudo tcpdump -i eth0 -w capture.pcap
- 常用过滤表达式
- 按端口:sudo tcpdump -i eth0 port 80
- 按主机:sudo tcpdump -i eth0 host 192.0.2.10
- 按协议:sudo tcpdump -i eth0 proto icmp
- 建议做法
- 先短时抓包并保存为 pcap,再用 Wireshark 进行详细解析与重放分析。
三 典型恶意流量的识别方法
- DDoS 与异常流量
- 现象:出现大量相似请求、特定端口被高频访问、带宽突增。
- 抓包侧重点:统计 SYN 洪泛、UDP 小包洪泛、异常 ICMP 洪泛等;观察 pps/带宽 的突发曲线。
- Web 攻击特征
- 在 HTTP 流量中检索可疑字符串,如 ’ OR 1=1、UNION SELECT、
