Ubuntu Sniffer如何进行网络安全测试

Ubuntu 环境下使用嗅探器开展网络安全测试

一合规与准备

二工具选型与安装

抓包与协议分析
- tcpdump：命令行抓包与分析，适合服务器与快速排查。
- Wireshark：图形化协议分析器，适合深入解码与可视化分析。
入侵检测与日志关联
- OSSEC：主机/日志型入侵检测，可与抓包结果交叉验证。
攻击面演示与验证（仅在授权环境）
- Dsniff 套件（含 arpspoof）：用于 ARP 欺骗等攻击面验证与防御验证。
- driftnet：演示明文图像流量泄露风险（仅用于合法测试）。
安装示例
- sudo apt-get update
- sudo apt-get install -y tcpdump wireshark
- sudo apt-get install -y ossec-hids ossec-hids-client
- sudo apt-get install -y dsniff driftnet
- 安装 Wireshark 时选择允许非超级用户抓包的组件，便于日常使用与最小权限运行。

三基线抓包与流量分析

接口与权限
- 查看可用接口：sudo tcpdump -D；实时抓包：sudo tcpdump -i any 或指定接口如 eth0/wlan0。
保存与回放
- 保存原始流量：sudo tcpdump -i any -w capture.pcap；读取分析：sudo tcpdump -r capture.pcap。
常用过滤
- 按主机与端口：sudo tcpdump -i any host 192.168.1.10 and port 80；按协议：tcp、udp、icmp 等。
显示与截断控制
- 显示报文内容：sudo tcpdump -X -i any -s 0 host 192.168.1.10 and port 80（-s 0 表示抓取完整报文）。
图形化分析
- 用 Wireshark 打开 .pcap 文件，结合显示过滤器（如 http、dns、tls）定位可疑会话与异常行为。

四入侵与异常识别方法

可疑行为特征举例
- 大量失败登录/暴力破解特征（如短时间内同一来源对不同端口/服务的 SYN/连接尝试激增）。
- 异常 ICMP/UDP 洪泛、TCP 异常标志组合（如 SYN Flood、NULL/Christmas 扫描）。
- 可疑 DNS 查询（异常域名、DGA 特征、隧道迹象）与异常 HTTP 请求（SQL 注入、XSS 特征字符串）。
- 明文协议中的凭证泄露（如 HTTP 基本认证、FTP 明文口令）、异常文件传输（如大文件外泄）。
识别流程
- 在抓包工具中按时间线定位突发流量，结合协议解码确认行为意图；对可疑流使用过滤器复现分析。
- 将抓包发现与主机/应用日志关联，验证是否为真实攻击或误报；必要时扩大采样窗口与采样点。
- 对加密流量（如 TLS/HTTPS），关注握手异常、证书异常与重协商频率，再联动端点与 IDS 日志进一步确认。

五攻击面验证与防御建议

授权验证示例（仅限合法测试）
- ARP 欺骗验证链路安全与主机防护：
  - 查看网关：route -n 或 ip route；确认网卡名（如 ens33）。
  - 欺骗目标与网关（双向）：
    - sudo arpspoof -i ens33 -t 192.168.1.112 192.168.1.254
    - sudo arpspoof -i ens33 -t 192.168.1.254 192.168.1.112
  - 观察是否出现中间人迹象（如目标与网关 ARP 表异常、会话劫持）。
- 明文图像流量泄露演示（仅用于验证防护效果）：
  - sudo driftnet -i ens33（在独立窗口观察被嗅探到的图像）。
加固要点
- 在交换机侧启用端口安全/动态 ARP 检测（DAI）/DHCP Snooping，降低 ARP 欺骗风险。
- 强制使用 HTTPS/TLS，对外最小化暴露明文协议；对关键系统启用 HSTS 与证书固定。
- 部署或联动 IDS/IPS（如基于主机的 OSSEC 与网络侧的 IDS），对暴力破解、扫描与异常流量进行告警与阻断。
- 网络分段与最小权限访问控制，限制横向移动与嗅探影响面。

最新问答