Ubuntu Sniffer如何进行网络审计

Ubuntu 网络嗅探与审计实操指南

一 工具选型与准备

• 抓包取证与分析
  • tcpdump：命令行抓包与过滤，适合服务器与脚本化审计。
  • Wireshark：图形化协议分析，便于深入查看报文细节与统计。
• 实时带宽与连接监控
  • iftop：按连接显示实时带宽占用，快速定位“谁在占带宽”。
  • nload：终端图形化查看各接口入/出速率。
  • vnstat：长期流量统计，生成日报/月报。
• 安装命令
  • sudo apt update
  • sudo apt install tcpdump wireshark iftop nload vnstat
• 权限与接口
  • 抓包工具通常需要 sudo；接口名可用 ip a 查看（如 eth0、ens33、wlan0）。

二 快速上手 tcpdump 抓包与审计

• 实时抓包与显示优化
  • 捕获所有接口：sudo tcpdump -i any -nn
  • 指定接口：sudo tcpdump -i eth0 -nn -s 0（抓取完整报文）
• 精准过滤（BPF 语法）
  • 按主机：sudo tcpdump -i eth0 -nn host 192.168.1.100
  • 按端口：sudo tcpdump -i eth0 -nn port 80
  • 按协议：sudo tcpdump -i eth0 -nn udp port 53（DNS）
  • 组合条件：sudo tcpdump -i eth0 -nn host 192.168.1.100 and port 80
• 保存与离线分析
  • 保存：sudo tcpdump -i eth0 -w capture.pcap
  • 读取：tcpdump -r capture.pcap
  • 图形化分析：wireshark capture.pcap
• 审计建议
  • 限定时间窗口（如只抓 60 秒）、限定主机/端口，避免产生过大 .pcap 文件并影响性能。

三 实时流量与连接级审计

• iftop（连接带宽画像）
  • 启动：sudo iftop -i eth0
  • 常用参数：-n（不解析主机名）、-N（不解析端口名）、-P（显示端口号）、-F 192.168.1.0/24（仅看某网段）
  • 界面要点：中间列表为连接，右侧为 2s/10s/40s 平均速率；TX/RX 分别为发送/接收；峰值与平均值便于识别异常占用。
• nload（接口速率概览）
  • 启动：nload（或 nload eth0），上下两块分别显示入/出速率、当前/平均/最大/总计等指标，适合快速巡检。
• vnstat（长期统计）
  • 启动统计：sudo systemctl start vnstat && sudo systemctl enable vnstat
  • 查看：vnstat（按日/月/总览），用于容量评估与异常趋势比对。

四 审计流程与报告输出

• 明确目标与范围
  • 目标：排查异常连接、验证访问合规、取证特定主机/端口通信等。
  • 范围：限定 时间、接口、IP/端口/协议，避免全量抓取。
• 采集与过滤
  • 先用 iftop/nload 定位异常对象与时段，再用 tcpdump 精准抓包并保存为 .pcap。
• 分析与取证
  • 用 Wireshark 打开 .pcap，结合显示过滤器（如 http、tcp.port==80）查看握手、请求/响应与重传等细节；必要时导出特定报文或统计报表。
• 报告要点
  • 基本信息：审计对象、时间窗口、网络拓扑/接口。
  • 关键发现：异常主机/端口、可疑流量峰值、协议异常（如明文凭证）、重传/丢包迹象。
  • 证据留存：保留原始 .pcap（只读封存）、导出图表/统计页，形成可复现结论的审计记录。

五 合规与安全注意事项

• 合法合规
  • 仅在获得网络所有者/管理者授权的前提下进行嗅探与审计；避免监听未授权网络或用户隐私数据，遵守当地法律法规与单位制度。
• 权限与最小暴露
  • 抓包需 root 能力，尽量在受控主机上执行；对 .pcap 等抓包文件设置严格访问控制与加密存储，必要时脱敏后再流转。
• 性能与稳定性
  • 高流量环境务必使用过滤表达式，限制抓包时长与规模；长期运行建议结合 vnstat 做趋势基线，异常时再短时抓包取证。