CentOS Sniffer 检测网络攻击的全流程实战指南：面向网络运维安全的落地教程

1. 环境准备与需求分析

1.1 研究目标与覆盖范围

在本指南中，我们聚焦于 CentOS 系统上的 Sniffer 实践，目标是能够快速识别并定位网络攻击的迹象。目标是建立稳定的检测流程，还原攻击路径。通过本次全流程实战，读者能够从环境搭建、工具链到取证分析形成一整套落地方案。

为了实现可落地的 网络运维安全 能力，应该明确测试网络、受控实验环境、以及对生产系统的影响范围。落地与 风险分级是关键字，确保在实际运维中可执行、可追溯地落地到日常工作。

1.2 环境准备与依赖

选择 CentOS 7/8/Stream 任一版本作为基线，各组件的兼容性要先确认。本文以 CentOS 7/8 为示例，重点在于嗅探与检测的全流程实战落地。

需要安装基础嗅探与检测工具、集中日志、以及入侵检测系统。EPEL 仓库、tshark、tcpdump、Suricata 等是核心组件，确保在生产环境中具有稳定的版本与规则。

# 安装 EPEL
sudo yum install -y epel-release
# 安装命令行嗅探与检测工具
sudo yum install -y tcpdump tshark
# 安装入侵检测系统（示例）
sudo yum install -y suricata

# 基线配置示例：允许网卡进行嗅探
sudo ip link set eth0 promisc on
# 验证接口是否在混杂模式
ip link show eth0

2. 搭建嗅探与检测工具链

2.1 安装与配置核心组件

在 CentOS 上，嗅探工具用于获取网络包，检测工具用于识别异常。核心组件包括 tshark、tcpdump、以及 Suricata。

通过配置 Suricata 的规则集，可以将网络攻击信号转化为可操作的告警。规则集与 告警级别 是实现高效告警的关键因素。

# 启用并测试 Suricata
sudo systemctl enable suricata
sudo systemctl start suricata
# 初次自检
sudo suricatasc --version || echo "Suricata 已安装"

2.2 配置监听与证据采集

设置网卡监听并使其进入混杂模式，以便捕获所有经过的流量。混杂模式是嗅探的基础，确保不丢失任何网络异常。

为事件驱动的取证准备 PCAP，确保后续分析可重复。PCAP 格式是证据载体，便于后续的离线分析与法证留痕。

# 将网卡 eth0 置为混杂模式
sudo ip link set eth0 promisc on
# 捕获 300 秒的流量到 capture.pcap
sudo tshark -i eth0 -a duration:300 -w capture.pcap

3. 实战全流程：从基线到取证

3.1 侧测阶段：基线建立与实时监控

在正式进入检测网络攻击阶段前，需要建立基线以便区分异常流量。基线是判断异常的前提，通常包含常见的端口使用、协议分布、流量峰值等。

实时监控可以借助 tshark、tcpdump，以及简单的仪表板进行可视化。可视化与 告警阈值需要合理设置，以避免误报或漏报。

3.2 异常事件触发与取证流程

一旦发现可疑行为，优先进行证据采集，确保 PCAP 的完整性与时序性，方便后续溯源分析。证据采集是安全事件处理的核心。

# 通过 tshark 进行过滤抓包
sudo tshark -i eth0 -f "dst net 10.0.0.0/8 and port 80" -w suspicious_http.pcap
# 对 PCAP 进行快速分析（JSON 输出）
tshark -r suspicious_http.pcap -T json

4. 结果解读与落地实现

4.1 结果解读与报告撰写

将检测结果转化为可执行的安全改进，分析攻击路径、影响范围以及可能的责任主体。报告撰写是运维与安全对齐的桥梁，确保各方对安全事件有统一的认识。

通过对告警级别、命中规则以及特征的归纳，形成制度化的 优化措施，以便后续持续改进与防御演练。

4.2 自动化与日常运维落地

将嗅探、检测和告警整合到日常运维流程中，实现自动化轮转 PCAP、自动规则更新与告警分发。自动化与 持续集成是落地的关键。

# 自动轮转 PCAP 的简单示例
cat << 'EOF' > /usr/local/bin/rotate_pcap.sh
#!/bin/bash
TIMESTAMP=$(date +%F-%H%M%S)
cp /var/log/pcap/capture.pcap /var/log/pcap/capture-$TIMESTAMP.pcap
>/var/log/pcap/capture.pcap
echo "Rotated at $TIMESTAMP"
EOF
chmod +x /usr/local/bin/rotate_pcap.sh
# 定时任务
(crontab -l 2>/dev/null; echo "0 3 * * * /usr/local/bin/rotate_pcap.sh") | crontab -