在CentOS系統中��,Sniffer(嗅探器)是一種強大的網絡監控工具��,能夠捕獲和分析網絡流量�,從而幫助識別多種異常行為��。以下是一些常見的異常行為類型:
- 挖礦病毒:CPU或GPU長時間占用100%����,出現異常進程(如xmrig�、kworker�����、ddgs)等����。
- DDoS攻擊:服務器帶寬異常占滿�,netstat顯示大量syn_recv����、time_wait狀態����,ps發現大量httpd/nginx進程等�。
- 后門木馬:隱藏進程�����,ps進程列表找不到但top能看到�,crontab中出現可疑定時任務���,端口監聽異常(ss -antp顯示root運行的非標準端口)等��。
- 蠕蟲病毒:短時間內大量文件變動��,top顯示異常高I/O負載��,服務器對外瘋狂掃描其他IP等��。
- 勒索病毒:文件被加密(擴展名.lock���、.encrypted)��,/tmp目錄下出現未知可執行文件����,ps發現wget/curl下載可疑文件等��。
- Webshell:網站目錄(/var/www/html/)出現陌生腳本文件等�。
- SQL注入攻擊:數據庫mysqld進程CPU異常升高�,網站日志出現大量union select或or 1=1語句等�。
- 暴力破解:/var/log/secure出現大量failed login記錄����,who發現陌生IP登錄�,ss -antp發現22端口大量連接等���。
- DNS劫持:resolv.conf被篡改�,DNS解析異常�,ping google.com解析IP變化��,服務器DNS記錄被改到8.8.8.8之外的未知IP等�。
- 惡意代理/隧道:ps發現socat��、nc�����、iodine等隧道工具���,服務器對外大量443/80連接�����,iptables規則被修改等���。
- ARP欺騙:arp -a顯示異常網關MAC��,內網通信異常����,流量到達錯誤IP����,tcpdump發現ARP報文激增等��。
需要注意的是��,Sniffer工具的使用需要獲得相應網絡設備的授權�,并且可能受到法律和隱私政策的限制���。在使用此類技術之前��,必須確保有合適的法律依據和支持�����。
