ดัมพ์การเชื่อมต่อ tcp โดยไม่มี tcpdump

บนกล่อง centos ฉันต้องการถ่ายโอนข้อมูลการเชื่อมต่อ tcp - ฉันต้องการดูว่าเซิร์ฟเวอร์พยายามส่งคำขอไปยัง IP ที่แน่นอนหรือไม่ โดยทั่วไปแล้ว tcpdump จะทำการหลอกลวง - แต่ไม่ได้ติดตั้ง tcpdump และการติดตั้งซอฟต์แวร์ไม่ใช่ตัวเลือก (เนื่องจากนโยบายของ บริษัท ) ฉันกลัวว่า netstat จะไม่แสดงคำขอเดียวให้ฉัน

ดังนั้นฉันสงสัยตัวเลือกอื่น ๆ ที่ฉันมี ฉันมีสิทธิ์เข้าถึงรูทบนเซิร์ฟเวอร์

แน่นอนคุณมีpython?

from socket import * 
from struct import unpack 
import sys 

INTERFACE = "eth0"
TARGET = "8.8.8.8" 

if __name__ == "__main__": 
  sock = socket(AF_PACKET, SOCK_DGRAM, 0x0800) 
  sock.bind((INTERFACE, 0x0800)) 
  while True: 
    data = sock.recvfrom(1500, 0)[0] 
    ip = inet_ntop(AF_INET, data[12:16]) 
    if ip == TARGET: 
      print "GOT TARGET" 
      sys.exit(1)

การดำเนินการนี้จะออกด้วย "GOT TARGET" ซึ่งจะให้ที่อยู่ IP กลับมาที่การแข่งขัน เนื่องจาก TCP ต้องส่งบางสิ่งกลับมาในระหว่างการจับมือจึงควรจับอะไรจากที่อยู่เป้าหมายที่เฉพาะเจาะจง มันไม่สนใจว่าโพรโทคอลเป็น TCP หรือ UDP แม้ว่า (หรือฉันจะตรวจสอบ)

อย่าลืมเปลี่ยนเป้าหมายและอินเตอร์เฟซ

ฉันพยายามรับ tcpdump จริงๆ ทางเลือกบางอย่างเพื่อดูว่ามีการเชื่อมต่อบางอย่างสำหรับ IP หรือไม่:

strace:

[kbrandt@ny-kbrandt01: ~] strace -e trace=network nc 1.2.3.4 1234
...
socket(PF_INET, SOCK_STREAM, IPPROTO_TCP) = 3
connect(3, {sa_family=AF_INET, sin_port=htons(1234), sin_addr=inet_addr("1.2.3.4")}, 16) = -1 EINPROGRESS (Operation now in progress)

lsof:

[kbrandt@ny-kbrandt01: ~] nc 1.2.3.4 1234 &
[1] 11434
[kbrandt@ny-kbrandt01: ~] lsof -p 11434
....
nc      11434 kbrandt    3u  IPv4 4543149      0t0     TCP 10.7.0.78:58886->1.2.3.4:search-agent (SYN_SENT)

netstat:

[kbrandt@ny-kbrandt01: ~] nc 1.2.3.4 1234 &
[1] 11486
[kbrandt@ny-kbrandt01: ~] sudo netstat -a -p | grep 11486
tcp        0      1 10.7.0.78:58891             1.2.3.4:search-agent        SYN_SENT    11486/nc

Iptables มีความสามารถในการตรวจแก้จุดบกพร่องและสามารถใช้สำหรับการวิเคราะห์ทราฟฟิกได้เช่นกัน

การแก้ปัญหาอธิบายไว้ใน URL ด้านล่าง

การดีบักกฎใน Iptables

นอกจากนี้ยังควรอ่าน URL ต่อไปนี้เพื่อตั้งค่าการบันทึกการติดตามผลลัพธ์ไปยังไฟล์ที่คุณเลือก

http://backreference.org/2010/06/11/iptables-debugging/

ฉันจะไม่พิจารณาโซลูชันนี้เท่ากับ tcpdump แต่สามารถทำได้โดยใช้ Centos น้อยที่สุด คุณต้องระวังอย่าเติมดิสก์ด้วยบันทึกเพราะ tcpdump มีประสิทธิภาพมากขึ้นในการใช้ดิสก์ ปิดการบันทึกเมื่อไม่จำเป็น

คุณสามารถใช้สิ่งต่อไปนี้เป็นแม่แบบพื้นฐานในสคริปต์ของคุณ

# Logging
log(){
SOURCE=a.b.c.d (IP address)
$IPT -A INPUT   -s $SOURCE -m limit --limit 50/minute -j LOG --log-level 7 --log-prefix "In: "
$IPT -A OUTPUT  -s $SOURCE -m limit --limit 50/minute -j LOG --log-level 7 --log-prefix "Out: "
$IPT -A FORWARD -s $SOURCE -m limit --limit 50/minute -j LOG --log-level 7 --log-prefix "Fw: "
$IPT -t nat -A POSTROUTING -m limit --limit 50/minute -j LOG --log-level 7 --log-prefix "Nat: "
}
#log  (remove comment to enable)

trace(){
iptables -t raw -A PREROUTING -p tcp  -j TRACE
iptables -t raw -A OUTPUT     -p tcp  -j TRACE
}
#trace (remove comment to enable)

หากคุณต้องการซอฟต์แวร์เฉพาะเพื่อทำงานของคุณและไม่ได้รับอนุญาตคุณไม่ได้ทำเรื่องธุรกิจหรือขายความคิดของคุณให้กับคนที่ใช่ ... หรือคุณไม่สามารถควบคุมระบบนี้ได้ .

หากฉันได้รับมอบหมายให้ทำบางสิ่งบางอย่างและต้องการประเภทของการแก้ไขข้อบกพร่อง / ข้อมูลการแก้ไขปัญหาที่คุณต้องการในกรณีนี้ฉันจะใช้เครื่องมือที่เหมาะสม ที่มีแนวโน้มหรือtcpdump tsharkใช่มันเป็นซอฟต์แวร์ชิ้นหนึ่ง แต่ฉันคิดว่าพวกเขาจำเป็นต้องใช้ยูทิลิตี้เพิ่มเติม ในความเป็นจริงพวกเขาเป็นสาธารณูปโภคที่สามารถติดตั้งหรือโหลดลงในระบบชั่วคราวและลบออกโดยไม่เกิดปัญหา (เป็นตัวเลือกสื่อที่ถอดออกได้หรือไม่ ... คำใบ้ )

แต่ประเด็นก็คือการแก้ไขปัญหานโยบาย บริษัท อย่างจริงจังอาจต้องใช้ความพยายามมากกว่าการได้รับการอนุมัติสำหรับกรณีการใช้งานนี้

ไคล์เสนอตัวเลือกที่ยอดเยี่ยม อีกหนึ่งจะใช้iptables:

[james@server ~]$ sudo iptables -I OUTPUT -d 1.2.3.4/32
...
[james@server ~]$ sudo iptables -L OUTPUT -n -v
Chain OUTPUT (policy ACCEPT 105 packets, 35602 bytes)
 pkts bytes target  prot opt in  out  source      destination
   87 33484 LOG     all  --  *   *    0.0.0.0/0   1.2.3.4     LOG flags 0 level 4

นี่คือกฎการบัญชีเป็นหลัก ไม่อนุญาตหรือปฏิเสธทราฟฟิกอย่างชัดเจนดังนั้นจึงใช้นโยบายเริ่มต้นสำหรับเครือข่าย OUTPUT (ซึ่งเป็นค่าเริ่มต้นสำหรับ ACCEPT) อย่างไรก็ตามแพ็คเก็ตที่ตรงกันใด ๆ จะเพิ่มตัวนับสำหรับกฎ

คุณสามารถเลือกที่จะบันทึกรายละเอียดเกี่ยวกับแพ็กเก็ตด้วย-j LOGตัวเลือก:

[james@server ~]$ sudo iptables -I OUTPUT -d 1.2.3.4/32 -j LOG
...
[james@server ~]@ dmesg | grep 1.2.3.4 | tail -1
IN= OUT=eth0 SRC=192.168.1.1 DST=1.2.3.4 LEN=100 TOS=0x10 PREC=0x00 TTL=64 ...

บันทึกจะไปที่สิ่งอำนวยความสะดวกการบันทึกเคอร์เนลดังนั้นจึงควรแสดงใน / var / log / ข้อความเกี่ยวกับ Red Hat Derivatives และ /var/log/kern.log บน Debian อนุพันธ์ มันจะสามารถมองเห็นได้ในผลลัพธ์ของdmesgตามที่แสดง ซึ่งแตกต่างจากtcpdumpอย่างไรก็ตามมันจะไม่บันทึกเนื้อหาทั้งหมดของแพ็คเก็ตเพียงเนื้อหาของส่วนหัวแพ็คเก็ต

เนื่องจากเซิร์ฟเวอร์ของคุณเชื่อมต่อกับ IP ที่แน่นอนฉันคิดว่ามันจะเป็นพอร์ตที่คุณมีความรู้ด้วย?

ไม่ว่าในกรณีใดnetstatหรือssถูกออกแบบมาเพื่อทำสิ่งที่คุณต้องการ คุณสามารถทำเช่นเดียวกันกับคำสั่งใด:

netstat -n -t | awk '{print $5}' | grep A.B.C.D:n
ss      -n -t | awk '{print $5}' | grep A.B.C.D:n

โดยที่A.B.C.Dแทนที่อยู่ IPv4 และn แสดงหมายเลขพอร์ตที่เซิร์ฟเวอร์ของคุณเชื่อมต่ออยู่ที่ด้านระยะไกล ตัวอย่างเช่น:

ss      -n -t | awk '{print $5}' | grep 10.137.54.22:3389

หรือหากคุณต้องการทราบว่ามีการเชื่อมต่อ:

ss      -n -t | awk '{print $5}' | grep -q 10.137.54.22:3389 && echo "CONNECTION MADE"

หากคุณไม่ทราบหมายเลขพอร์ตที่คุณพยายามเชื่อมต่องานจะยากขึ้นเนื่องจาก TCP จะเปิดพอร์ตทั้งสองด้านของการสนทนาสำหรับข้อมูลและแพ็กเก็ต ACK ในกรณีนี้คุณสามารถ grep สำหรับที่อยู่ IP เพื่อแสดงว่ามีการเชื่อมต่อใด ๆ ไม่ว่าจะเป็นไปหรือมาจาก

สุดท้ายคุณสามารถวนสิ่งนี้เข้ากับเนื้อหาหัวใจเพื่อใช้เป็นเครื่องมือตรวจสอบของคุณ:

while true; do
    ss -n -t | awk '{print $5}' | grep -q A.B.C.D:n && \
        echo "CONNECTION MADE" && \
        exit 0
    sleep 1
done