阅读量:135
Linux Sniffer检测网络入侵的实用方法
一、检测思路与工具分工
二、快速上手流程
三、常见入侵特征与对应抓包识别方法
威胁类型抓包/过滤要点可观察特征
端口扫描/探测
tcpdump -nn -i any ‘tcp == tcp-syn and not tcp == tcp-ack’ 或 ‘arp’
同一源对多端口/多主机的SYN洪泛;大量ARP请求
DoS/DDoS
iftop/NetHogs 发现异常带宽;tcpdump 观察异常流量突发
某IP或少量IP占满带宽;大量并发连接/畸形包
暴力破解 SSH
tcpdump -nn -i any ‘tcp port 22 and (((ip - ((ip&0xf)2)) != 0)’
短时间内大量SSH连接尝试、失败重连
Web 攻击(SQLi/XSS)
tshark -r capture.pcap -Y ‘http’
HTTP请求参数中出现可疑 SQL 片段或脚本标签
可疑 DNS 行为
tshark -r capture.pcap -Y ‘dns’
异常DNS查询频率、DGA 类随机域名、C2 域名解析
以上方法结合“先发现异常、再定位特征”的顺序,可较快从海量流量中筛出可疑行为线索。
四、部署与合规要点
以上就是关于“Linux Sniffer怎样检测网络入侵”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm