首先检查DNS解析是否异常,通过对比dig或nslookup结果、查看/etc/resolv.conf配置及使用tcpdump监控DNS流量;接着用netstat -tulnp或ss -tulnp排查异常监听端口和可疑外连,结合arp -a检测ARP欺骗;再通过ps aux分析高资源占用或伪装进程,检查crontab定时任务及/etc/cron.d/目录防持久化后门;最后利用AIDE等工具验证系统文件完整性,防止关键命令被替换。定期执行上述步骤可有效发现网络劫持。
Linux系统下检测网络是否被劫持,核心在于监控异常的网络行为和关键服务。重点要检查DNS解析、网络连接、路由表以及是否存在可疑进程。以下是具体排查方法。
DNS劫持是最常见的网络劫持形式,攻击者会将域名解析到恶意IP。可以通过以下方式检测:
dig或nslookup命令查询关键域名(如 google.com),并将结果与可信网络环境下的解析结果进行对比。如果IP地址明显不同,则可能被劫持。
/etc/resolv.conf文件,确认其中配置的DNS服务器是否是已知且可信的。攻击者可能会篡改此文件,将其指向恶意DNS服务器。执行cat /etc/resolv.conf即可查看。tcpdump抓包分析,例如运行sudo tcpdump -i any port 53,观察DNS请求和响应的详细信息,查找异常的解析记录。黑客入侵后常会建立反向Shell或开启后门监听端口,需要仔细排查。
netstat -tulnp或ss -tulnp命令,查看所有正在监听的TCP/UDP端口及
其对应的进程。重点关注非标准端口(如60000以上)或不熟悉的程序。arp -a,查看局域网内IP与MAC地址的映射关系。如果发现网关的MAC地址与正常情况不符,可能遭遇了ARP欺骗攻击。网络劫持往往由系统层面的入侵导致,因此必须检查是否有恶意代码在运行。
ps aux,按CPU或内存排序(如ps aux --sort=-%cpu),寻找占用资源异常高或名称伪装成系统进程(如./kthreadds)的可疑程序。crontab -l查看当前用户的计划任务,并检查/etc/crontab和/etc/cron.d/目录。攻击者常利用定时任务来持久化后门或定期执行恶意脚本。/bin/ps, /usr/bin/netstat),因为这些文件一旦被替换,其输出结果就不可信了。
服务热线