Linux Sniffer在网络安全培训中的应用指南

一、培训目标与基础准备

Linux Sniffer（嗅探器）是网络安全人员识别攻击、排查故障的核心工具，培训需围绕**“合法监控-精准捕获-深度分析-威胁应对”**的能力链展开。前期需准备：

• 环境搭建：选择Linux发行版（如Ubuntu Server），安装必要工具（tcpdump（命令行）、Wireshark（图形化）、iftop（流量监控））；
• 权限管理：强调所有操作需用sudo或root权限，避免普通用户误操作；
• 法律意识：明确告知学员未经授权监控网络属于违法行为，培训需在模拟环境（如实验室虚拟机）中进行。

二、核心技能培训模块

1. Sniffer基础操作：从捕获到保存

• 启动捕获：使用tcpdump命令捕获指定接口（如eth0）的流量，基础命令为：
  sudo tcpdump -i eth0（实时显示所有经过接口的数据包）；
• 过滤流量：通过过滤表达式缩小范围，例如：
  • 捕获HTTP流量：sudo tcpdump -i eth0 port 80；
  • 捕获特定IP的通信：sudo tcpdump -i eth0 host 192.168.1.100；
  • 捕获TCP SYN包（识别连接请求）：sudo tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn) != 0'；
• 保存与导出：将捕获的数据包保存为.pcap文件（后续用Wireshark分析），命令：
  sudo tcpdump -i eth0 -w capture.pcap。

2. 图形化工具：Wireshark的实战应用

• 界面导航：讲解Wireshark的主界面（Packet List、Packet Details、Packet Bytes），指导学员如何展开/折叠数据包层次（如以太网帧→IP包→TCP段→应用层数据）；
• 过滤技巧：教授常用过滤语法，例如：
  • 显示HTTP请求：http.request.method == GET；
  • 显示DNS查询：dns；
  • 显示异常流量（如大包）：frame.len > 1500；
• 深度分析：演示如何查看数据包载荷（如HTTP POST请求中的表单数据）、提取文件（如从FTP流量中提取上传的图片）。

3. 异常流量识别：常见攻击的特征与检测

• DDoS攻击：通过iftop监控流量，识别异常高带宽占用（如某IP的流入流量持续超过1Gbps）；用tcpdump统计SYN包数量（如每秒超过100个SYN包且无ACK响应），判断是否为SYN Flood攻击；
• SQL注入：在Wireshark中过滤HTTP POST请求，搜索' OR '1'='1、UNION SELECT等SQL关键字，识别恶意查询；
• XSS攻击：检查HTTP响应中的Content-Type为text/html的数据包，查找 jindouyun.cn. All Rights Reserved. 筋斗云 版权所有 | 粤ICP备13013545号 | 增值电信业务经营许可证： 粤B1-20215235 | 粤公网安备 44070302000974号
违法和不良信息举报中心   24 小时违法和不良信息举报热线：4006783389，举报邮箱：jubao@jindouyun.cn