Linux sniffer如何应对攻击

Linux 环境下应对嗅探攻击的实用方案

一 预防优先 让嗅探难以得手

• 加密传输：用SSH 替代 Telnet/FTP/POP3等明文协议，敏感业务启用TLS/SSL，确保即使数据被抓取也不可读。
• 网络分段与交换：以交换机/路由器/网桥进行VLAN/子网划分，缩小单段可见范围，嗅探器通常只能捕获本段流量。
• 最小信任与零信任：按“最小权限”与“需要才信任”设计网段间关系，避免大范围“可信任网段”。
• 口令与凭据治理：启用**/etc/shadow影子口令，设置足够长且复杂**的口令，结合多因素认证，降低被嗅探后破解成功率。
• 无线侧控制：对Wi‑Fi使用WPA3/WPA2‑Enterprise、802.1X 认证与动态 VLAN，减少广播暴露面。
  以上措施能显著降低嗅探的有效性与影响范围。

二 快速检测 发现可疑嗅探迹象

• 检查网卡是否处于混杂模式 PROMISC：
  • ifconfig -a 或 ip link show，若接口标志含“PROMISC”且非管理员设置，需重点排查。
• 主机行为异常：无故的CPU/磁盘占用升高、出现陌生进程、日志被清空或篡改等。
• 网络设备侧异常：交换机/路由器出现异常端口启用、未知 MAC 绑定、流量异常等。
• 辅助工具：部署ARPWatch监控新 MAC 绑定；在无线侧用Kismet/NetStumbler发现异常监听点。
• 说明：高级嗅探器可能隐藏“PROMISC”标识，需与流量与设备侧异常综合判断。

三 响应处置 发现后的止损与溯源

• 立即隔离：将可疑主机从网络下线/隔离 VLAN，保留现场并保护内存与磁盘镜像以便取证。
• 撤销与轮换：立刻撤销/更换在该网段可能泄露的凭据、密钥、API Token，并强制用户下次登录更换口令。
• 加固与修复：排查入侵路径（如木马/后门/弱口令），更新补丁，关闭不必要服务与端口。
• 取证与复盘：结合**系统日志、网络设备日志、入侵检测/防御系统（IDS/IPS）**记录进行溯源，完善检测规则与监控基线。
• 法律合规：按企业安全制度与法律法规进行上报与处置，避免二次风险。
  上述流程有助于快速止损并降低复发概率。

四 善用嗅探工具进行防守 合规监测与分析

• 合法授权：仅在明确授权范围内抓包与分析，注意隐私与合规。
• 抓包与分析：用tcpdump抓取（如：sudo tcpdump -i eth0 -w capture.pcap），再用Wireshark进行协议级分析。
• 识别攻击特征：结合流量特征识别DDoS 异常流量、SQL 注入/XSS 可疑载荷等，并与iftop/NetHogs联动定位占用带宽的进程。
• 联动检测：与Snort/Suricata等 IDS/IPS 协同，编写本地规则，实现实时告警与阻断。
• 性能与风险控制：限制抓包规模与保存周期，避免对系统性能与网络造成冲击。
  合规使用抓包工具能提升对嗅探与攻击的发现与响应效率。