Giden ağ trafiğini kontrol etme

Ubuntu'da ağ bağlantısı üzerinden hangi bilgilerin gönderildiğini, hangi programları yaptığını ve bilgisayarımın hangi sitelere bağlandığını nasıl kontrol edebilirim?

Güvenlik konusunda paranoyak değilim, ama kim bilir?

Bu kadar işlevselliğe ihtiyacınız yoksa iptraf veya iftop'u tavsiye ederim . Gönderen iptrafana:

IPTraf, Linux için konsol tabanlı bir ağ istatistikleri yardımcı programıdır. TCP bağlantı paketi ve bayt sayısı, arayüz istatistikleri ve etkinlik göstergeleri, TCP / UDP trafik arızaları ve LAN istasyonu paket ve bayt sayısı gibi çeşitli şekilleri toplar. Özellikleri

• Ağınızdan geçen IP trafiği hakkında bilgi gösteren bir IP trafik monitörü. TCP bayrağı bilgilerini, paket ve bayt sayılarını, ICMP ayrıntılarını, OSPF paket türlerini içerir.
• IP, TCP, UDP, ICMP, IP olmayan ve diğer IP paket sayılarını, IP sağlama toplamı hatalarını, arabirim etkinliğini, paket boyutu sayılarını gösteren genel ve ayrıntılı arabirim istatistikleri.
• Genel TCP ve UDP uygulama bağlantı noktaları için gelen ve giden paket sayısını gösteren bir TCP ve UDP hizmet monitörü
• Etkin ana makineleri keşfedip üzerlerindeki veri etkinliğini gösteren istatistikleri gösteren bir LAN istatistik modülü
• TCP, UDP ve diğer protokol görüntüleme filtreleri, yalnızca ilgilendiğiniz trafiği görüntülemenizi sağlar.
• Kerestecilik
• Ethernet, FDDI, ISDN, SLIP, PPP ve geri döngü arayüz tiplerini destekler.
• Linux çekirdeğinin yerleşik ham soket arayüzünü kullanarak geniş bir yelpazede desteklenen ağ kartlarında kullanılmasına izin verir.
• Tam ekran, menü odaklı çalışma.

İptraf ana menüsünün ekran görüntüsü:

Bu, iftop durumunda bir ekran görüntüsüdür:

Giden verileri tcpdump kullanarak kaydedebilirsiniz, ancak bu çok fazladır (ve çoğu şifrelenir), gerçek bir kullanım olmayacaktır.

Gerçekte hırsızlığı zorlaştırmaktan nasıl hırsızlandığınızı bulmaktan daha iyidir ... neyin yüklü olduğunu kontrol edin, güncel olduğundan emin olun, gereksiz şeyleri silin, resmi olmayan yazılımlardan (ve depolardan) kurtulun, yerel güvenlik duvarı, SELinux veya benzeri güvenliği devre dışı bırakmayın , iyi şifreler kullanın, ziyaret ettiğiniz web sitelerine, tüm normal hijyenlere dikkat edin.

Kardeş IDS gibi şeyler , bir ağ arayüzünden geçen trafiği analiz eder ve bağlantılar ve trafik miktarları, bulunan protokoller ve protokol başına bilgiler (HTTP istekleri, gönderilen postalar, DNS istekleri, SSL sertifikası ortak adları gibi) ...). Size hangi uygulamanın yapıldığını söylemez (HTTP tarayıcıları gibi kullanıcı aracılarını günlüğe kaydetme hariç). Paketi kokladığından, değiştirilen veri miktarına ayak uyduramazsa bazı verileri kaçırabilir (yine de rapor ederse).

conntrackddurum bilgisi olan güvenlik duvarı tarafından izlenen her bağlantıyı ve ne kadar veri alışverişini günlüğe kaydetmek için kullanılabilir. Sistemden geçen veri miktarı ne olursa olsun çalışır, ancak netfilter veya ham soket trafiğinden hariç tutulursa, güvenlik duvarı üzerinden köprülü trafik gibi geçmeyen verileri rapor etmez.

Güvenlik hedefini, LOG hedefini veya ULOG ile birlikte kullanarak trafiği günlüğe kaydetmek için de kullanabilirsiniz ulogd.

Bağlantıyı yapan pid'i günlüğe kaydetmek için denetim sistemini ( auditd/ auditctl) kullanmanız gerekir , ancak bu çok ayrıntılı olur ve kolayca analiz edilmez.