การแสดงรายการการเชื่อมต่อเครือข่ายที่ใช้งาน * และที่ผ่านมา

บน Linux ฉันรู้ว่าฉันสามารถแสดงรายการการเชื่อมต่อเครือข่ายที่ใช้งานได้ lsof -i หรือ netstat อย่างไรก็ตามเท่าที่ฉันรู้รายการเชื่อมต่อนี้เท่านั้นที่มี เปิดในขณะนี้ .

หากกระบวนการทำให้การเชื่อมต่อสั้นและจากนั้นยุติมัน (เช่นเช่นโปรแกรม "การโทรกลับบ้าน") ฉันจะพลาดถ้าไม่ได้ทำงาน lsof ในช่วงเวลาที่แน่นอนนั้น มีวิธีรับรายการเซิร์ฟเวอร์ที่ฉันเชื่อมต่อหรือไม่ ตัวอย่างเช่นเครื่องมือที่เขียนที่อยู่ IP บนไฟล์เมื่อใดก็ตามที่มีการเปิดการเชื่อมต่อใหม่ทั้งระบบ

การรักษาเครือข่ายดมกลิ่นเช่น wireshark เปิดไว้อย่างถาวรสำหรับงานนี้ดูเหมือนว่าจะเกินกำลัง

หากกระบวนการทำให้การเชื่อมต่อสั้นและจากนั้นจะยุติมัน (เช่นโปรแกรม "โทรศัพท์บ้าน")

โปรแกรมเหล่านี้ส่วนใหญ่สร้างการเชื่อมต่อ TCP เพื่อรับประกันว่าข้อมูลจะมาถึง 'หน้าแรก' หากเป็นกรณีนี้ netstat คำสั่งจะเป็นเพื่อนที่ดีที่สุดของคุณเพราะการเชื่อมต่อ TCP ทั้งหมดที่ปิดไว้จะมีขนาดเล็กหรือนานกว่านั้น TIME_WAIT รัฐและ netstat --inet -n แสดงรายการการเชื่อมต่อเหล่านี้ (และที่เปิดอยู่ในปัจจุบันด้วย)

หากคุณไม่โชคดีและกระบวนการลับ ๆ ล่อใจนั้นใช้การเชื่อมต่อ UDP หรือคุณต้องการตรวจสอบปริมาณข้อมูลเป็นเวลานานคุณต้องตรวจสอบปริมาณการใช้งานเครือข่ายทั้งหมดของเครื่องด้วยเครื่องมือเช่น TCPDump หรือ IPTraf IPTraf นั้นง่ายกว่าเพราะจะบันทึกเฉพาะที่อยู่ IP และพอร์ต TCPDump เป็นเครื่องมือขั้นสูง (แม้จะมีชื่อมันสามารถตรวจสอบการรับส่งข้อมูล UDP และ ICMP ได้เช่นกัน) และบันทึกการรับส่งข้อมูลเครือข่ายทั้งหมด

ฉันยังไม่ได้ลอง แต่คุณได้พิจารณาใช้ iptables กับ a LOG เป้าหมายในห่วงโซ่ผลผลิตหรือไม่

บางอย่างเช่นสิ่งต่อไปนี้ (ยังไม่ทดลอง แต่มีส่วนสำคัญ)

iptables -I OUTPUT ! -i lo -p tcp --syn -j LOG --log-prefix 'New TCP'
iptables -I OUTPUT ! -i lo -p udp -m state --state NEW -j LOG --log-prefix 'New UDP'

สิ่งนี้จะบันทึกหนึ่งครั้งสำหรับการเชื่อมต่อ TCP แต่ละครั้งและหนึ่งครั้งสำหรับแต่ละเซสชัน UDP ใหม่ไม่รวมอินเทอร์เฟซย้อนกลับซึ่งดูเหมือนจะเป็นสิ่งที่คุณต้องการโดยสังเขป จากนั้นคุณสามารถ grep ระบบของคุณบันทึกเพื่อค้นหาว่ามีการเชื่อมต่อขาออกเกิดขึ้นจริง

อย่างไรก็ตามมันจะไม่ (และฉันไม่คิดว่า iptables ธรรมดา) สามารถบอกคุณว่าแอปพลิเคชันใดเริ่มการเชื่อมต่อและคุณจะได้รับ ตัน ของบันทึกจากสิ่งนี้ซึ่งส่วนใหญ่จะไม่มีประโยชน์ (เพราะจำนวนของการเชื่อมต่อที่ถูกต้องตามกฎหมายจะทำให้คนแคระบ้านทำ)

คุณต้องฟังมากกว่า 65000 พอร์ต เครือข่ายดมกลิ่นของไฟร์วอลล์เท่านั้นที่สามารถทำได้ เพียงแค่กำหนดค่าตัวกรองที่ถูกต้อง (สำหรับคำขอเชื่อมต่อใหม่) สำหรับกฎการดมกลิ่นหรือไฟร์วอลล์