Ubuntu Sniffer怎样识别恶意流量

Ubuntu 下识别恶意流量的实用方法

一、识别思路与流程

• 明确目标与范围：界定要监测的网段、主机、协议与时段，避免无边界抓包导致数据过载。
• 合法合规：在自有或获授权的网络中抓包，避免侵犯隐私或触犯法律。
• 部署嗅探器：在关键节点以混杂模式运行抓包工具，获取全量流量用于分析。
• 流量解析与过滤：按协议、源/目的 IP、端口、方向与时间窗进行过滤，聚焦可疑会话。
• 特征与行为双轨判定：用已知攻击特征（规则/签名）与异常行为基线（统计/阈值）交叉验证。
• 告警与处置：对命中规则的会话生成告警，结合阻断/限流策略进行处置，并固化规则与基线。

二、工具与用法速览

三、典型恶意流量的识别要点

• 扫描与探测：短时间内大量 SYN 到不同端口（半开扫描）、连续端口敲门、ICMP/UDP 异常洪泛。
• 暴力破解：对 SSH/RDP/SMB 的高频失败登录，伴随不同源端口或用户名。
• Web 攻击特征：HTTP 请求中出现可疑路径与参数，如 union select、../、<script>、cmd=、shell=。
• 异常 DNS：大量 NXDOMAIN 响应、DGA 类随机域名、与已知恶意域通信。
• DoS/DDoS：单源或多源对单一目标的SYN/ACK/RST/ICMP 洪泛，带宽/pps 突增。
• 可疑隧道与隐蔽通道：DNS/HTTP/ICMP 隧道特征（长域名、固定长度载荷、异常时段）。
• 协议滥用：在不常见端口上承载 SMB/SMTP/HTTP 等明文协议，或与业务基线不符。
  这些特征可通过 tcpdump/Wireshark 先期发现线索，再由 Snort 规则进一步确认与告警。

四、快速上手命令示例

• 抓取与回放
  • 抓取全部接口到文件：sudo tcpdump -i any -w capture.pcap
  • 读取分析：tcpdump -r capture.pcap -nn
• 聚焦可疑主机/端口
  • 按主机与 TCP：sudo tcpdump host 192.0.2.10 and tcp
  • 按端口：sudo tcpdump port 22 or port 3389
• Wireshark 显示过滤
  • HTTP 攻击线索：http.request or http contains "union select" or http contains "<script>"
  • DNS 异常：dns.flags.response == 0 and dns.qry.name contains "xyz"
• Snort 3 规则示例（检测 HTTP 上的可疑 UA）
  • 规则：alert http any any -> any any (msg:"Suspicious User-Agent"; http_user_agent; content:"sqlmap"; sid:1000001; rev:1;)
  • 说明：命中后生成告警，若以 inline 模式部署可联动阻断。

五、提升准确度的实践建议

• 建立“正常基线”：统计带宽、pps、协议占比、会话时长等，设置动态阈值与突变告警。
• 规则与行为结合：先用 Snort 规则捕捉已知威胁，再用统计方法发现低频/新型异常。
• 关注加密流量：TLS/HTTPS 内容不可见时，结合SNI/证书/握手异常/流量时序识别可疑行为。
• 资源与保留策略：限制抓包文件大小与保留天数，避免磁盘被占满；对关键告警做PCAP 留存。
• 合规与最小化：仅抓必要流量，最小化保存字段，审计留痕，避免采集敏感明文数据。