Day-005-网络嗅探与流量分析技术

# Day 04: 网络嗅探与流量分析技术

> 网络安全系列第 4 天 | 预计阅读时间：30 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [引言](#引言)
2. [网络嗅探原理](#网络嗅探原理)
3. [抓包工具详解](#抓包工具详解)
4. [流量分析技术](#流量分析技术)
5. [协议分析实战](#协议分析实战)
6. [加密流量分析](#加密流量分析)
7. [异常检测技术](#异常检测技术)
8. [防护与反制](#防护与反制)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 引言

### 为什么学习网络嗅探？

网络嗅探（Network Sniffing）是网络安全的基础技能，无论是渗透测试、应急响应、还是网络运维，都离不开流量分析能力。

**应用场景**：
-  **安全审计**：检测网络中的敏感信息泄露
-  **故障排查**：分析网络问题和应用异常
-  **入侵检测**：识别恶意流量和攻击行为
- 目标 **渗透测试**：收集目标信息，发现漏洞
- 统计 **性能优化**：分析网络瓶颈和流量模式

### 法律与道德边界

! **重要提醒**：

```
合法使用：
✓ 自己拥有或管理的网络
✓ 获得书面授权的网络
✓ 学习和研究环境（隔离网络）

非法使用：
✗ 未经授权的网络
✗ 公共 WiFi 窃听
✗ 他人网络流量
```

**法律风险**：
- 中国：《网络安全法》第 27 条禁止非法侵入他人网络
- 美国：Wiretap Act, Computer Fraud and Abuse Act
- 欧盟：GDPR 隐私保护

---

## 网络嗅探原理

### 网卡工作模式

#### 正常模式 vs 混杂模式

```
正常模式：
  网卡只接收：
  - 发往本机 MAC 地址的数据包
  - 广播包（FF:FF:FF:FF:FF:FF）
  - 多播组（如果加入）

混杂模式（Promiscuous Mode）：
  网卡接收：
  - 所有经过网卡的数据包
  - 无论目标 MAC 是什么
```

#### 启用混杂模式

```bash
# Linux
ip link set eth0 promisc on
ifconfig eth0 promisc

# 验证
ip link show eth0
# 输出包含 PROMISC 表示已启用

# 关闭
ip link set eth0 promisc off
```

### 交换机环境下的嗅探挑战

#### 交换机工作原理

```
交换机 MAC 地址表：
┌─────────────┬─────────────┐
│   MAC 地址   │   端口      │
├─────────────┼─────────────┤
│ AA:BB:CC:1  │   Port 1    │
│ AA:BB:CC:2  │   Port 2    │
│ AA:BB:CC:3  │   Port 3    │
└─────────────┴─────────────┘

数据转发：
- 单播：只发送到目标端口
- 广播：发送到所有端口
- 未知：发送到所有端口（泛洪）
```

#### 绕过交换机隔离

**方法 1：端口镜像（SPAN）**
```
需要：交换机管理权限
配置：将所有端口流量镜像到监控端口
适用：企业环境，合法监控
```

**方法 2：ARP 欺骗**
```
原理：伪造 ARP 响应，将流量重定向到攻击者
工具：arpspoof, bettercap
风险：可能被检测，网络中断
```

**方法 3：MAC 泛洪**
```
原理：填满 MAC 地址表，使交换机进入失效开放模式
工具：macof
风险：网络瘫痪，易被检测
```

**方法 4：集线器/分路器**
```
物理接入：使用网络分路器（TAP）
优点：被动监听，难以检测
缺点：需要物理接入
```

---

## 抓包工具详解

### Wireshark - 图形化分析神器

#### 安装与配置

```bash
# Kali Linux（预装）
# Ubuntu/Debian
sudo apt install wireshark

# 添加用户到 wireshark 组
sudo usermod -aG wireshark $USER

# 配置非 root 抓包
sudo dpkg-reconfigure wireshark-common
```

#### 界面介绍

```
┌─────────────────────────────────────────────────────┐
│  菜单栏 | 工具栏                                    │
├─────────────────────────────────────────────────────┤
│  过滤器：tcp.port == 80 && ip.src == 192.168.1.1   │
├─────────────────────────────────────────────────────┤
│  数据包列表                                         │
│  No.  Time     Source      Destination   Protocol   │
│  1    0.000   192.168.1.1  10.0.0.1     HTTP       │
│  2    0.001   10.0.0.1    192.168.1.1   TCP        │
├─────────────────────────────────────────────────────┤
│  数据包详情                                         │
│  Frame 1: 60 bytes                                  │
│  Ethernet II                                        │
│  Internet Protocol Version 4                        │
│  Transmission Control Protocol                      │
│  Hypertext Transfer Protocol                        │
├─────────────────────────────────────────────────────┤
│  数据包内容（十六进制 + ASCII）                      │
│  0000  00 11 22 33 44 55 66 77 88 99 aa bb cc dd ee  .."3DUfw......  │
└─────────────────────────────────────────────────────┘
```

#### 核心过滤器语法

**基础过滤器**：
```
# 按协议
http
tcp
udp
dns
arp
icmp

# 按 IP 地址
ip.src == 192.168.1.1
ip.dst == 10.0.0.1
ip.addr == 192.168.1.1

# 按端口
tcp.port == 80
udp.port == 53
tcp.port >= 1024

# 按 MAC 地址
eth.src == aa:bb:cc:dd:ee:ff
eth.dst == aa:bb:cc:dd:ee:ff
```

**组合过滤器**：
```
# 逻辑运算符
tcp && http
http || dns
!arp

# 复杂条件
tcp.port == 80 && ip.src == 192.168.1.0/24
http.request.method == "POST"
dns.qry.name contains "google"

# HTTP 特定
http.request.uri contains "login"
http.response.code == 200
http.cookie contains "session"

# TLS 特定
tls.handshake.type == 1  # ClientHello
tls.handshake.type == 2  # ServerHello
```

**显示过滤器 vs 捕获过滤器**：
```
捕获过滤器（BPF 语法，抓包前设置）：
host 192.168.1.1
port 80
tcp and host 10.0.0.1

显示过滤器（Wireshark 语法，抓包后过滤）：
ip.addr == 192.168.1.1
tcp.port == 80
```

### tcpdump - 命令行抓包利器

#### 基本用法

```bash
# 抓取所有流量
tcpdump -i eth0

# 抓取指定数量
tcpdump -i eth0 -c 100

# 抓取到文件
tcpdump -i eth0 -w capture.pcap

# 从文件读取
tcpdump -r capture.pcap

# 实时显示文件内容
tcpdump -r capture.pcap -w - | tcpdump -r -
```

#### 常用选项

```bash
# 详细输出
tcpdump -i eth0 -v
tcpdump -i eth0 -vv
tcpdump -i eth0 -vvv

# 十六进制 + ASCII
tcpdump -i eth0 -X
tcpdump -i eth0 -XX  # 包含链路层

# 不解析主机名（更快）
tcpdump -i eth0 -n
tcpdump -i eth0 -nn  # 不解析端口

# 时间戳
tcpdump -i eth0 -tttt  # 完整日期时间
tcpdump -i eth0 -t     # 无时间戳
tcpdump -i eth0 -tt    # Unix 时间戳
```

#### 过滤表达式

```bash
# 主机过滤
tcpdump host 192.168.1.1
tcpdump src host 192.168.1.1
tcpdump dst host 192.168.1.1

# 网络过滤
tcpdump net 192.168.1.0/24

# 端口过滤
tcpdump port 80
tcpdump src port 443
tcpdump dst port 22

# 协议过滤
tcpdump tcp
tcpdump udp
tcpdump icmp

# 组合条件
tcpdump 'tcp and port 80'
tcpdump 'host 192.168.1.1 and not port 22'
tcpdump 'tcp[tcpflags] & tcp-syn != 0'  # SYN 包
```

#### 高级用法

```bash
# 抓取特定 TCP 标志
tcpdump 'tcp[tcpflags] & tcp-syn != 0'  # SYN
tcpdump 'tcp[tcpflags] & tcp-fin != 0'  # FIN
tcpdump 'tcp[tcpflags] & tcp-rst != 0'  # RST

# 抓取 HTTP POST
tcpdump -i eth0 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

# 抓取 DNS 查询
tcpdump -i eth0 -s 0 -A 'udp and port 53'

# 按包大小过滤
tcpdump 'greater 1000'  # 大于 1000 字节
tcpdump 'less 100'      # 小于 100 字节
```

### tshark - Wireshark 命令行版

```bash
# 基础抓包
tshark -i eth0

# 写入文件
tshark -i eth0 -w capture.pcap

# 读取文件
tshark -r capture.pcap

# 应用过滤器
tshark -r capture.pcap -Y "http.request"

# 提取字段
tshark -r capture.pcap -T fields -e ip.src -e ip.dst -e http.host

# 统计信息
tshark -r capture.pcap -q -z io,stat,60
tshark -r capture.pcap -q -z protocol,tree

# 导出对象
tshark -r capture.pcap --export-objects http,./output
```

---

## 流量分析技术

### 流量统计与分析

#### 基础统计

```bash
# 包数量统计
tshark -r capture.pcap -q -z io,stat,0

# 协议分层统计
tshark -r capture.pcap -q -z ptype,tree

# 会话统计
tshark -r capture.pcap -q -z conv,ip
tshark -r capture.pcap -q -z conv,tcp

# 端点统计
tshark -r capture.pcap -q -z endpoints,ip
```

#### 流量可视化

```bash
# 生成流量图
tshark -r capture.pcap -q -z io,graph,0

# 使用 Wireshark 图形
# 统计 → IO 图形
# 统计 → 对话图
# 统计 → 流图
```

### 会话重建

#### TCP 流跟踪

```bash
# Wireshark
# 右键数据包 → 跟踪 → TCP 流

# tshark
tshark -r capture.pcap -q -z follow,tcp,ascii,0

# 提取 HTTP 会话
tshark -r capture.pcap -Y "http" -T fields \
  -e frame.time -e ip.src -e ip.dst -e http.request.method -e http.request.uri
```

#### HTTP 对象提取

```bash
# 提取所有 HTTP 对象
tshark -r capture.pcap --export-objects http,./output

# 提取特定文件类型
tshark -r capture.pcap -Y "http.content_type contains image" \
  --export-objects http,./images
```

### 异常流量识别

#### 常见异常模式

```
1. 流量突增
   - DDoS 攻击
   - 数据外泄
   - 病毒/蠕虫传播

2. 异常端口
   - 非标准端口上的常见协议
   - 高位端口的持续连接

3. 异常时间
   - 非工作时间的活跃流量
   - 定期心跳（C2 通信）

4. 异常协议
   - DNS 隧道
   - ICMP 隧道
   - HTTP 异常使用
```

#### 检测方法

```bash
# 1. 流量基线
tshark -r capture.pcap -q -z io,stat,60

# 2. 检测 SYN Flood
tshark -r capture.pcap -Y "tcp.flags.syn==1 and tcp.flags.ack==0" \
  -q -z endpoints,ip

# 3. 检测端口扫描
tshark -r capture.pcap -Y "tcp.flags.syn==1" \
  -T fields -e ip.src -e tcp.dstport | sort | uniq -c

# 4. 检测 DNS 异常
tshark -r capture.pcap -Y "dns" -q -z dns,tree
```

---

## 协议分析实战

### HTTP/HTTPS 分析

#### HTTP 请求分析

```bash
# 提取所有 HTTP 请求
tshark -r capture.pcap -Y "http.request" \
  -T fields -e frame.time -e ip.src -e http.request.method -e http.request.uri -e http.host

# 查找登录请求
tshark -r capture.pcap -Y 'http.request.uri contains "login"' \
  -T fields -e http.request.full_uri -e http.request.method

# 查找敏感数据
tshark -r capture.pcap -Y 'http.request.method == "POST"' \
  -T fields -e http.file_data
```

#### HTTP 响应分析

```bash
# 分析响应码
tshark -r capture.pcap -Y "http.response" \
  -q -z http,tree

# 查找大文件下载
tshark -r capture.pcap -Y "http.response.code == 200" \
  -T fields -e http.content_length | sort -rn | head

# 提取 Cookie
tshark -r capture.pcap -Y "http.set_cookie" \
  -T fields -e http.set_cookie
```

#### HTTPS 分析

```bash
# TLS 握手分析
tshark -r capture.pcap -Y "tls.handshake.type == 1" \
  -T fields -e tls.handshake.extensions_server_name

# 提取 SNI（服务器名称指示）
tshark -r capture.pcap -Y "tls.handshake.type == 1" \
  -T fields -e frame.time -e ip.src -e tls.handshake.extensions_server_name

# 证书信息
tshark -r capture.pcap -Y "x509if" \
  -T fields -e x509if.dnsName -e x509if.rdnSequence
```

### DNS 分析

#### DNS 查询分析

```bash
# 所有 DNS 查询
tshark -r capture.pcap -Y "dns.flags.response == 0" \
  -T fields -e frame.time -e ip.src -e dns.qry.name

# DNS 响应
tshark -r capture.pcap -Y "dns.flags.response == 1" \
  -T fields -e frame.time -e dns.qry.name -e dns.a

# 按域名统计
tshark -r capture.pcap -Y "dns" \
  -T fields -e dns.qry.name | sort | uniq -c | sort -rn
```

#### DNS 异常检测

```bash
# 长域名查询（可能是隧道）
tshark -r capture.pcap -Y "dns.qry.name.len > 50" \
  -T fields -e dns.qry.name

# 高频查询
tshark -r capture.pcap -Y "dns" \
  -T fields -e ip.src | sort | uniq -c | sort -rn

# NXDOMAIN 比例（可能是枚举）
tshark -r capture.pcap -Y "dns.flags.rcode == 3" \
  -q -z dns,tree
```

### SMB/NetBIOS 分析

```bash
# SMB 连接
tshark -r capture.pcap -Y "smb" \
  -T fields -e smb.cmd -e smb.uid -e smb.tid

# NetBIOS 名称查询
tshark -r capture.pcap -Y "nbns" \
  -T fields -e ip.src -e nbns.hostname

# SMB 文件访问
tshark -r capture.pcap -Y "smb2" \
  -T fields -e smb2.cmd -e smb2.create_request.file_name
```

---

## 加密流量分析

### 加密流量挑战

```
加密流量占比：
- 2024 年：>90% 的 Web 流量
- 企业环境：70-80%
- 移动应用：>95%

分析挑战：
- 无法查看 payload 内容
- 只能分析元数据
- 需要解密才能深度分析
```

### 元数据分析

#### JA3 指纹识别

**原理**：TLS 客户端指纹，用于识别恶意软件

```bash
# 计算 JA3 指纹
tshark -r capture.pcap -Y "tls.handshake.type == 1" \
  -T fields -e tls.handshake.ja3

# 与已知恶意指纹对比
# https://github.com/salesforce/ja3
```

#### 流量模式分析

```
分析维度：
- 包大小分布
- 包间隔时间
- 流量方向
- 会话持续时间
- 字节总量

工具：
- Zeek (原 Bro)
- Joy (Cisco)
- FlowD
```

### TLS 解密技术

#### 方法 1：服务器私钥解密

**条件**：
- 拥有服务器私钥
- RSA 密钥交换（TLS 1.2 及之前）
- 不支持前向安全（PFS）

**步骤**：
```bash
# 1. 在 Wireshark 配置私钥
# 编辑 → 首选项 → Protocols → TLS
# 添加：(RSA Key), 192.168.1.1, 443, http, /path/to/server.key

# 2. 重新打开 pcap 文件
# Wireshark 自动解密流量
```

#### 方法 2：SSLKEYLOGFILE

**条件**：
- 控制客户端或服务器
- 可以配置环境变量

**步骤**：
```bash
# 1. 设置环境变量
export SSLKEYLOGFILE=/tmp/sslkeys.log

# 2. 启动浏览器
firefox $SSLKEYLOGFILE=/tmp/sslkeys.log

# 3. 在 Wireshark 配置
# 编辑 → 首选项 → Protocols → TLS
# (Pre-Master-Secret log filename): /tmp/sslkeys.log

# 4. 抓包并解密
```

#### 方法 3：中间人解密

**条件**：
- 可以部署中间人代理
- 客户端信任攻击者 CA

**工具**：
- mitmproxy
- Burp Suite
- Fiddler

---

## 异常检测技术

### 网络扫描检测

```bash
# SYN 扫描检测
tshark -r capture.pcap -Y "tcp.flags.syn==1 and tcp.flags.ack==0" \
  -T fields -e ip.src -e tcp.dstport | sort | uniq -c

# 如果单个 IP 连接多个端口 → 可能是扫描

# 连接扫描检测
tshark -r capture.pcap -Y "tcp.flags.syn==1" \
  -q -z conv,tcp
```

### DDoS 攻击检测

```bash
# SYN Flood 检测
tshark -r capture.pcap -Y "tcp.flags.syn==1" \
  -q -z io,stat,10

# DNS 放大攻击检测
tshark -r capture.pcap -Y "dns" \
  -q -z dns,tree

# 流量基线对比
# 正常：1000 pps
# 攻击：100000+ pps
```

### 数据外泄检测

```bash
# 大流量外传
tshark -r capture.pcap -q -z conv,ip \
  | sort -rn -k5 | head

# 异常时间传输
tshark -r capture.pcap -q -z io,stat,3600

# DNS 隧道检测
tshark -r capture.pcap -Y "dns" \
  -T fields -e dns.qry.name | awk 'length > 50'
```

### C2 通信检测

```
特征：
- 定期心跳（固定间隔）
- 小数据包
- 非常用端口
- 加密流量
- 异常域名

检测：
tshark -r capture.pcap -q -z io,stat,60
# 查看是否有规律流量
```

---

## 防护与反制

### 反嗅探技术

#### 1. 加密通信

```bash
# 始终使用 HTTPS
# 使用 SSH 隧道
ssh -D 1080 user@server

# 使用 VPN
openvpn --config client.ovpn
```

#### 2. ARP 欺骗防护

```bash
# 静态 ARP 条目
arp -s 192.168.1.1 aa:bb:cc:dd:ee:ff

# 使用 ARP 监控
arpwatch -i eth0

# 使用防御工具
arpguard
```

#### 3. 交换机安全

```
配置：
- 端口安全（Port Security）
- DHCP Snooping
- Dynamic ARP Inspection (DAI)
- 802.1X 认证
```

### 检测嗅探行为

```bash
# 检测混杂模式
# 方法 1：响应时间测试
ping -c 1 target
# 混杂模式网卡响应稍慢

# 方法 2：发送假数据
# 发送目标 MAC 不存在但 IP 存在的数据包
# 如果收到响应 → 可能是混杂模式

# 使用检测工具
nmap --script sniffers target
```

### 网络分段

```
最佳实践：
- VLAN 隔离
- 防火墙分段
- 最小权限访问
- 网络访问控制（NAC）
```

---

## 总结与思考

### 核心要点回顾

1. **网络嗅探基础**：
   - 混杂模式原理
   - 交换机环境挑战
   - 合法使用边界

2. **抓包工具**：
   - Wireshark：图形化分析
   - tcpdump：命令行抓包
   - tshark：自动化分析

3. **分析技术**：
   - 协议分析
   - 会话重建
   - 异常检测

4. **加密流量**：
   - 元数据分析
   - TLS 解密方法
   - JA3 指纹

### 深入思考问题

1. **加密普及对安全分析的影响**：
   - 正面：保护用户隐私
   - 负面：增加威胁检测难度
   - 平衡：元数据分析 + 端点检测

2. **AI 在流量分析中的应用**：
   - 机器学习检测异常
   - 行为分析识别威胁
   - 自动化响应

3. **5G/物联网时代的嗅探**：
   - 新协议分析
   - 海量数据处理
   - 边缘计算安全

### 实战建议

1. **安全分析师**：
   - 熟练掌握 Wireshark
   - 建立流量基线
   - 定期分析网络流量

2. **渗透测试人员**：
   - 信息收集阶段使用嗅探
   - 注意法律边界
   - 获得书面授权

3. **网络管理员**：
   - 部署网络监控
   - 配置反嗅探措施
   - 定期安全审计

### 下一步学习建议

- **深入协议分析**：学习各协议细节
- **自动化分析**：Python + Scapy
- **威胁狩猎**：基于流量的威胁检测
- **逆向工程**：恶意软件流量分析

---

## 参考资料

### 工具资源
- [Wireshark 官方](https://www.wireshark.org/)
- [tcpdump 文档](https://www.tcpdump.org/)
- [Zeek (Bro)](https://zeek.org/)
- [Scapy](https://scapy.net/)

### 在线资源
- [Wireshark Wiki](https://wiki.wireshark.org/)
- [Packet Total](https://www.packettotal.com/) - 在线 pcap 分析
- [Malware Traffic Analysis](https://www.malware-traffic-analysis.net/)

### 书籍推荐
- 《Wireshark 网络分析就这么简单》
- 《Practical Packet Analysis》
- 《Network Forensics》

---

**标记 明日预告**：Day 05 - 防火墙原理与配置实践

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 4 篇，完整系列请访问项目仓库。*