Makinemden giden tüm istekleri / bağlantıları nasıl izleyebilirim?

Makinem bir sunucudur, bu yüzden sunucumla yapılan bağlantıları görmezden gelmek istiyorum (örneğin, birileri web sitemi ziyaret ettiğinde). Yalnızca sunucum tarafından başka yerlere yapılan bağlantılar / istekleri görmek istiyorum .

Sadece bu giden bağlantıları nasıl görebilirim ?

EDIT: Bu tür şeylerde yeniyim. Yapmaya çalıştığım şey sadece sunucumdan herhangi bir şeyin web uygulamalarım için olan veriler dışında gönderilip gönderilmediğini görmek. Örneğin, birisi web sitelerimi ziyaret ederse, açıkçası sunucum müşterinin tarayıcısına veri gönderir. Ancak web uygulamamın çerçevesinde, bilmediğim bir yere istatistiksel veri gönderen bir yerlerde de kod olduğunu varsayalım. Sunucumun varsa veri yolladığını görmek istiyorum. Muhtemelen muhtemel değildir, ancak yazmadığınız bir php veya nodejs çerçevesi kullanmaya karar verdiğinizi varsayalım: bir yere bir tür veri göndermesi için küçük bir ihtimal var. Eğer öyleyse, görmek istediğim de bu.

Kullanın netstat. Örneğin

$ netstat -nputw
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
[...]
tcp        0      0 192.168.25.222:22       192.168.0.134:42903     ESTABLISHED 32663/sshd: gert [p

tüm UDP ( u), TCP ( t) ve RAW ( w) giden bağlantıları ( lveya kullanmayanlar a) sayısal biçimde listeler ( n, uzun süren olası DNS sorgularını önler) ve pbununla ilişkili programı ( ) içerir .

cÇıktının sürekli olarak güncellenmesini sağlamak için seçenek eklemeyi düşünün .

Her bağlantı girişimini yalnızca günlüğe kaydetmek istiyorsanız, en kolay olanı muhtemelen iptables LOGLinux (ya da sisteminizdeki eşdeğer güvenlik duvarı günlüğü özelliği) hedefidir.

Bağlantının süresi ve her iki yönde paylaşılan veri miktarı gibi daha fazla bilgiye ihtiyacınız varsa, conntrackd(Linux'ta) muhtemelen en iyi seçenektir.

Bununla birlikte, yukarıdakilerin ikisinin yalnızca genel olarak tüm trafiği olan, ancak kullanıcı alanındaki (sanal makineler veya ham yuva kullanan herhangi bir şey gibi) ya da köprülenmiş trafiği olan IP yığınlarıyla oluşturulan trafiği hesaba katmayan yalnızca net filtreden geçen trafiği günlüğe kaydettiğini unutmayın.

Daha genel çözümleri için, gibi şeyler bir göz olabilir argus, bro-ids, sancpya ntoponlar bir arabirimde koklamayı trafiğe dayalı her türlü bilgiyi açın.

Ben de dahil olmak üzere, araçlar bir demet denedim iftop, ntop, iptrafve çok kullanışlı dahili tabii netstat -tupln, ama benim kullanımlar için pratik olduğu ortaya çıktı (desteklenen seçenekleri OS bağlıdır) nethogs- bu bağlantıları toplayan menşeli tarafından uygulaması ve hepsinden az gürültülü.

Üzerinden yüklenebilir:

sudo apt-get install nethogs

Kök olarak çalıştır:

sudo nethogs

Amacınız herhangi bir uygulama tarafından başlatılan tüm TCP bağlantılarını görmekse, şunları kullanabilirsiniz:

sudo tcpdump -i lo -A | grep Host:

Yapmak istediğim şey, dinleme bağlantı noktalarının bir listesini almak ve daha sonra onları diğer tüm TCP bağlantılarından kaldırmak, o zaman giden bağlantıların tümü olacak. Ss (soket durumu) komutu "Yerel Adres: Bağlantı Noktası" ve "Eş Adres: Bağlantı Noktası" sütunlarını çıkarır, dinleme bağlantı noktalarını "Yerel Adres: Bağlantı Noktası" sütunundan değil, "Eş Adres: Bağlantı Noktası" sütunundan çıkarmamız gerekir, Aksi takdirde bazı giden bağlantıları kaçırabilirsiniz. Bu nedenle, grep'teki \s{2}+": $ port" dizesinin arkasında "Local Address: Port" sütununun ardındaki boşluklarla eşleşmek için kullanıyorum; bu sütunun arkasında iki veya daha fazla beyaz boşluk var, burada "Eş Adres: Bağlantı Noktası" nın bir boşluğu var ve sonra yeni bir satır (grrr ... sadece yeni bir satır olmalı, IMO,\s+\s{2}+.) Normalde ss gibi filtreleme işlevlerini kullanmaya çalışabilirim ss -tn state established '(sport != :<port1> and sport !=:<port2>)' src <ip address>. Fakat bu ipin ne kadar olabileceği konusunda bir sınır var, çok fazla dinleme portu olan bir sistemde bombalandı. Ben de aynı şeyi grep ile yapmaya çalışıyorum. Aşağıdakilerin işe yarayacağına inanıyorum:

FILTER=$(ss -tn state listening | gawk 'NR > 1 {n=split($3,A,":"); B[NR-1]=A[n]} END {for (i=1; i<length(B); i++) printf ":%s\\s{2}+|", B[i]; printf ":%s\\s{2}+", B[i]}')

ss -tn state established dst :* | grep -P -v "$FILTER"

Bunun, kullandığınız ss sürümüne bağlı olduğunu unutmayın, daha eski sürümler (örneğin: ss yardımcı programı, iproute2-ss111117) farklı bir çıktı biçimine sahiptir, bu yüzden awk olarak 4 $ yerine 3 $ kullanmanız gerekebilir. Ayrıca not edin ss -tlnve ss -tn state listeningsize biraz sezgisel olan farklı çıktılar verir. YMMV.

Ana bilgisayarın IP adresini bilmeyi gerektirmeyen biraz daha şık bir çözüm buldum, ss -tn state established dst :*iyi çalışıyor, yukarıdaki komut satırlarını değiştirdim.

tcpdumpBelirli ölçütlere göre filtreleme özelliğine sahip belirli bir arabirimden / biriminden akan tüm IP trafiğini görmenizi sağlar. tcpdumpgenellikle kendi dağıtımınız için kapmak için bir yerde bir port yoksa, varsayılan olarak çoğu * nix sistemlerine kuruludur.

netstat iyi bir seçenektir. Parametreleri gerektiği gibi kullanın. (man sayfalarına bakın).

netstat -antup

Burada tüm (a) dinleme sayısal (n) tcp (t) ve udp (u) işlemini (p) izleyebilir.

Ayrıca sskomutu deneyebilirsiniz . Referans kullanım için:

SS Linux TCP / UDP Ağ ve Soket Bilgisi

Solaris veya türevi çalıştırıyorsanız, conntrack’e bakın