一�、前期準備:選擇與安裝Sniffer工具
Linux環境下����,Sniffer工具分為命令行(輕量���、高效)和圖形化(直觀�����、易操作)兩類���,需根據場景選擇:
- 命令行工具:
tcpdump(經典抓包工具�����,支持過濾與保存)��、tshark(Wireshark命令行版���,適合腳本處理)�����;
- 圖形化工具:
Wireshark(功能全面�����,支持協議解析與可視化)��、iftop(實時流量監控)�、nethogs(按進程統計流量)���。
安裝方式(以Debian/Ubuntu為例):
sudo apt update && sudo apt install tcpdump
sudo apt install wireshark
sudo apt install iftop
sudo apt install nethogs
注意:使用前需獲取網絡管理員授權��,避免侵犯隱私或違反法律法規����。
二��、捕獲數據包:定位目標流量
捕獲數據包是識別攻擊的基礎���,需明確接口(如eth0����、wlan0)和過濾條件(減少無關流量):
提示:過濾條件可組合使用(如sudo tcpdump -i eth0 port 22 and host 10.0.0.5���,捕獲eth0上與10.0.0.5的SSH流量)��。
三��、分析數據包:識別攻擊特征
捕獲后需通過協議解析和特征匹配識別攻擊���,常見攻擊類型及對應特征如下:
- DDoS攻擊:表現為異常高流量(如接口帶寬占用100%)�����、大量SYN包(TCP三次握手中的同步包���,
tcpdump 'tcp[tcpflags] & (tcp-syn) != 0')����、單一IP/端口的大量請求(如iftop顯示某IP持續占用大量出站/入站帶寬)����。
- SQL注入攻擊:HTTP請求中包含SQL關鍵字(如
' OR '1'='1�、UNION SELECT)��,可通過tcpdump過濾HTTP POST/GET請求(port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354���,匹配POST請求)����,再用Wireshark查看payload中的SQL語句��。
- 跨站腳本攻擊(XSS):HTTP響應中包含惡意腳本(如
<script>alert('xss')</script>)���,通過Wireshark過濾HTTP響應(http.response and tcp.port == 80)���,檢查Content-Type為text/html的響應體中的腳本標簽����。
- 端口掃描:短時間內向多個端口發送探測包(如
tcpdump 'tcp[tcpflags] & (tcp-syn) != 0 and tcp[tcpflags] & (tcp-ack) = 0'����,匹配SYN包但無ACK響應)����,可通過tcpdump統計SYN包數量(如sudo tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn) != 0' | wc -l)��。
四��、輔助工具:增強監控能力
結合其他工具可提升Sniffer的效率和準確性:
- iftop:實時顯示網絡接口的帶寬使用情況(按IP排序)��,快速定位占用大量帶寬的IP(如
sudo iftop -i eth0)����,幫助發現DDoS或異常上傳�����。
- nethogs:按進程統計流量(如
sudo nethogs eth0)�����,識別占用帶寬的應用程序(如挖礦軟件��、病毒進程)���。
- Wireshark:提供協議解析(如HTTP��、TCP)�、流量統計(如協議占比����、連接數)�����,通過過濾表達式(如
ip.src == 192.168.1.100 and tcp.port == 22)快速定位可疑流量�,支持可視化分析���。
五���、注意事項:確保合法與高效
- 合法性:僅在授權范圍內使用Sniffer����,避免監控非授權網絡或用戶流量���,否則可能違反《網絡安全法》等法律法規�。
- 性能影響:Sniffer會捕獲大量流量����,可能占用大量CPU�����、內存和磁盤空間(如長時間捕獲高帶寬流量)��,建議在非高峰時段使用����,或限制捕獲范圍(如僅捕獲特定端口)��。
- 數據安全:捕獲的
.pcap文件可能包含敏感信息(如密碼��、個人信息)��,需妥善存儲(如加密)或及時刪除��,避免泄露�。
