如何使用Linux Sniffer进行网络取证

Linux Sniffer网络取证实操指南

一 取证流程与准备

• 明确取证目标与范围：锁定涉及的主机/网段/端口/协议与时间窗，避免无边界抓包造成数据海量化与证据污染。
• 选择工具与权限：优先使用tcpdump（命令行、稳定、适合服务器环境），必要时配合Wireshark/tshark进行深度分析；抓包通常需要root或具备相应能力的账户。
• 选择抓包点：在被取证主机、网关/旁路镜像或受控跳板机上抓包，确保能覆盖目标流量且不影响业务连续性。
• 设定过滤表达式：提前设计BPF过滤规则，仅捕获与案件相关的流量，降低存储与分析压力。
• 存储与保全：使用**-w写入文件，设置合适的快照长度（-s）与环形缓冲（-C/-W），并记录操作者、时间、目的、命令**等审计信息，形成证据链。
• 合法合规：仅在明确授权范围内抓包，避免采集明文敏感信息（如凭据、PII），必要时对结果进行脱敏与哈希校验后保存。

二 工具安装与接口确认

• 安装 tcpdump（大多数发行版已预装，如未安装可用包管理器）：
  • Debian/Ubuntu：sudo apt-get update && sudo apt-get install -y tcpdump
  • CentOS/RHEL：sudo yum install -y tcpdump
• 确认可用网络接口：
  • 列出接口：sudo tcpdump -D（常见如eth0、ens33、lo、any）
• 图形化分析可选：
  • 安装 Wireshark：sudo apt-get install -y wireshark（或 yum/dnf 对应包）
  • 命令行分析可选 tshark：sudo yum install -y wireshark-cli（或 apt 对应包）

三 取证抓包与过滤命令示例

• 抓取指定接口与端口（如eth0:22/TCP），并保存为文件：
  • sudo tcpdump -i eth0 -s 0 -w ssh_capture.pcap port 22
• 抓取所有接口的ICMP（如排查ping连通性），并输出详细信息：
  • sudo tcpdump -i any -vvv -s 0 dst 123.xxx.xxx.74 and icmp
• 抓取与某主机的全部流量（示例 IP），便于后续多维分析：
  • sudo tcpdump -i any -s 0 -w host_74.pcap host 123.xxx.xxx.74
• 环形缓冲避免磁盘打满（每文件100MB，保留10个文件）：
  • sudo tcpdump -i any -s 0 -C 100 -W 10 -w rotate_%Y%m%d_%H%M%S.pcap
• 读取与分析抓包文件：
  • 查看包内容：tcpdump -r ssh_capture.pcap -nn -vv
• 常用过滤要点：
  • 类型：host / net / port；方向：src / dst / src or dst / src and dst；协议：icmp / tcp / udp / arp 等，可组合如：tcp port 80 and host 192.168.1.10

四 取证分析要点与常见攻击识别

• 连接与性能取证：检查TCP 三次握手是否完整、是否存在重传（Retransmission）、零窗口、异常响应时延与错误码，定位丢包/延时/服务不可达等问题。
• 攻击特征识别：
  • DDoS/异常突发流量：短时间内出现大量包/带宽飙升，源IP分散或单一来源异常。
  • 扫描探测：大量SYN且无后续握手、端口范围扫描特征明显。
  • 暴力破解：同一来源对22/3389/3306等端口短时间内高频失败连接。
  • Web 攻击迹象：HTTP 请求中出现可疑SQL 注入特征（如’ or 1=1）、XSS脚本片段等（明文协议场景）。
• 辅助工具：结合iftop、NetHogs观察带宽与进程占用，帮助快速定位异常来源与方向。

五 证据保全与合规实践

• 原始证据保全：抓包文件立即计算并记录哈希（如 sha256sum capture.pcap），必要时制作只读副本与校验清单，确保证据完整性与可验证性。
• 最小化采集：仅抓取与案件相关的时间窗/接口/主机/端口/协议，避免采集明文敏感数据；对输出与报告进行脱敏。
• 审计与留痕：完整记录时间、操作者、命令、过滤表达式、设备信息与分析结论，形成可复现的取证记录。
• 合法合规：仅在授权范围内实施抓包与取证，遵守当地法律法规与单位制度，避免侵犯隐私与合规风险。