Debian Dumpcap如何进行网络安全审计

Debian 上使用 Dumpcap 进行网络安全审计

一 环境准备与权限配置

• 安装工具：建议直接安装包含 Dumpcap 的 Wireshark 包，或仅安装 dumpcap。
  • 命令：sudo apt update && sudo apt install wireshark 或 sudo apt install dumpcap
• 最小权限运行：为普通用户授予捕获能力，避免使用 root 直接运行。
  • 命令：sudo setcap 'cap_net_raw,cap_net_admin+eip' /usr/bin/dumpcap
  • 验证：getcap /usr/bin/dumpcap（应返回包含 cap_net_raw,cap_net_admin 的能力）
• 专用用户组（可选）：创建 packet_capture 组并加入审计账号，结合文件权限进一步收敛风险。
  • 命令：sudo groupadd packet_capture && sudo usermod -aG packet_capture $USER
• 目录与日志：为捕获文件准备专用目录并设定合适权限（如 /var/log/dumpcap，仅允许审计组写入）。

二 捕获策略与常用命令

• 选择接口与基础捕获
  • 查看接口：dumpcap -D
  • 捕获全部接口：dumpcap -i any -w /var/log/dumpcap/audit_$(date +%F_%H%M%S).pcap
• 文件轮转与尺寸控制
  • 单个文件 10MB、最多 5 个文件：dumpcap -i any -w /var/log/dumpcap/audit.pcap -C 10M -W 5
• 捕获过滤器（BPF，减少无关流量）
  • 仅 HTTP/HTTPS：dumpcap -i any -f "tcp port 80 or tcp port 443" -w https_audit.pcap
  • 仅某主机：dumpcap -i any -f "host 192.168.1.100" -w host_audit.pcap
• 快照长度与链路层信息
  • 全尺寸抓包：dumpcap -i any -s 65535 -w full_audit.pcap
  • 含链路层头：dumpcap -i any -e -w l2_audit.pcap
• 实时分析管道
  • 到 Wireshark：dumpcap -i any -w - | wireshark -k -i -
  • 到 tcpdump：dumpcap -i any -w - 'port 80' | tcpdump -r -
• 多接口同时捕获
  • 命令：dumpcap -i eth0 -i wlan0 -w multi_if_audit.pcap
• 常用参数速览
  • -i 接口；-w 输出文件；-f 捕获过滤器；-s 快照长度；-c 抓包数量
  • -C 单文件大小；-W 文件数量；-e 链路层头；-t 时间戳格式；-v 详细输出。

三 审计场景与过滤表达式示例

• 可疑外联排查：聚焦非业务端口的出站连接
  • 命令：dumpcap -i any -f "not port 22 and not port 80 and not port 443 and outbound" -w suspicious_out.pcap
• 横向移动与扫描：检测常见扫描与爆破特征
  • 命令：dumpcap -i any -f "tcp[tcpflags] & (tcp-syn|tcp-ack) == tcp-syn and (port 22 or 3389 or 445 or 3306 or 6379)" -w scan_audit.pcap
• DNS 隧道与异常域名：抓取 DNS 查询以便后续分析
  • 命令：dumpcap -i any -f "udp port 53 or tcp port 53" -w dns_audit.pcap
  • 提示：用 Wireshark/tshark 对 dns.qry.name 做过滤与统计
• 明文凭证风险：抓取常见明文协议
  • 命令：dumpcap -i any -f "tcp port 21 or tcp port 23 or tcp port 110 or tcp port 143" -w cleartext_audit.pcap
• 文件传输与数据外泄：聚焦常见文件传输端口
  • 命令：dumpcap -i any -f "tcp port 20 or tcp port 21 or tcp port 445 or tcp port 139" -w ftp_smb_audit.pcap
• 说明：上述为捕获阶段的过滤示例；如需更细粒度字段解析与告警，建议将 .pcap 交给 Wireshark/tshark 做深度分析。

四 自动化与长期运行

• 按时间轮转（cron）
  • 示例：每小时一个文件
    • 0 * * * * /usr/bin/dumpcap -i any -w /var/log/dumpcap/audit_%Y-%m-%d_%H%M%S.pcap -C 100M -W 24
• systemd 服务（适合持续审计）
  • 示例文件 /etc/systemd/system/dumpcap.service：

    [Unit]
    Description=Dumpcap Network Packet Capture
    After=network.target
    
    [Service]
    ExecStart=/usr/bin/dumpcap -i any -w /var/log/dumpcap/audit.pcap -C 100M -W 48
    Restart=always
    User=audituser
    Group=packet_capture
    ProtectSystem=strict
    ReadWritePaths=/var/log/dumpcap
    
    [Install]
    WantedBy=multi-user.target
    

  • 启用：sudo systemctl daemon-reload && sudo systemctl enable --now dumpcap
• 日志与保留策略
  • 建议配合 logrotate 定期压缩与清理旧文件，避免磁盘被占满。

五 分析与合规要点

• 离线分析
  • Wireshark：图形化查看、按协议/字段筛选、追踪 TCP/UDP 会话、统计 DNS/HTTP 等。
  • tshark：命令行批量分析，例如
    • tshark -r dns_audit.pcap -Y "dns.flags.response == 0" -T fields -e dns.qry.name | sort | uniq -c | sort -nr
• 性能与稳定性
  • 优先使用 -f 在捕获阶段过滤，减少内核到用户态的数据量
  • 合理设置 -C/-W 与磁盘 I/O 能力匹配；必要时降低快照长度 -s（如 128/256 字节）以减轻负载
  • 在高流量环境考虑多接口分文件、分时段捕获
• 合规与安全
  • 仅在具备合法授权的网络与主机上捕获；对包含敏感信息的流量进行最小化保留与加密存储
  • 审计账号遵循最小权限原则，审计数据访问需留痕与审批
  • 生产变更与长期采集建议纳入变更管理与审计流程。