ฉันจะตรวจสอบคำขอ / การเชื่อมต่อขาออกทั้งหมดจากเครื่องของฉันได้อย่างไร

เครื่องของฉันเป็นเซิร์ฟเวอร์ดังนั้นฉันจึงต้องการละเว้นการเชื่อมต่อกับเซิร์ฟเวอร์ของฉัน (เช่นเมื่อมีคนเยี่ยมชมเว็บไซต์ของฉัน) ฉันต้องการเห็นเฉพาะการเชื่อมต่อ / คำขอที่เซิร์ฟเวอร์ของฉันทำกับสถานที่อื่น

ฉันจะเห็นเฉพาะการเชื่อมต่อขาออกเหล่านั้นได้อย่างไร

แก้ไข: ฉันใหม่กับสิ่งเหล่านี้ สิ่งที่ฉันพยายามทำคือดูว่ามีอะไรที่ส่งจากเซิร์ฟเวอร์ของฉันถูกส่งออกไปนอกเหนือจากข้อมูลสำหรับแอปพลิเคชันบนเว็บของฉัน ตัวอย่างเช่นหากมีคนเยี่ยมชมเว็บไซต์ของฉันแน่นอนเซิร์ฟเวอร์ของฉันจะส่งข้อมูลไปยังเบราว์เซอร์ของลูกค้า แต่สมมติว่ามีโค้ดอยู่ในกรอบของแอพพลิเคชั่นเว็บของฉันที่ส่งข้อมูลทางสถิติไปยังที่อื่นที่ฉันไม่ทราบ ฉันต้องการดูที่ที่เซิร์ฟเวอร์ของฉันกำลังส่งข้อมูลไปให้ถ้ามี อาจไม่น่าเป็นไปได้ แต่สมมติว่าคุณตัดสินใจใช้ php หรือ nodejs framework ที่คุณไม่ได้เขียน: มีโอกาสเล็กน้อยที่มันอาจส่งข้อมูลบางประเภท ถ้าอย่างนั้นนั่นคือสิ่งที่ฉันอยากเห็น

netstatใช้ ตัวอย่างเช่น

$ netstat -nputw
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
[...]
tcp        0      0 192.168.25.222:22       192.168.0.134:42903     ESTABLISHED 32663/sshd: gert [p

แสดงรายการการเชื่อมต่อขาออกUDP ( u), TCP ( t) และ RAW ( w) ทั้งหมด (ไม่ได้ใช้lหรือa) ในรูปแบบตัวเลข ( nป้องกันการสอบถาม DNS ที่ใช้งานได้นาน) และรวมถึงโปรแกรม ( p) ที่เชื่อมโยงกับสิ่งนั้น

พิจารณาการเพิ่มcตัวเลือกเพื่อให้ได้ผลลัพธ์ที่ได้รับการปรับปรุงอย่างต่อเนื่อง

หากคุณเพียงแค่ต้องการบันทึกการเชื่อมต่อทุกครั้งความพยายามที่ง่ายที่สุดอาจเป็นiptables LOGเป้าหมายใน Linux (หรือคุณสมบัติการบันทึกไฟร์วอลล์ที่เทียบเท่าในระบบของคุณ)

หากคุณต้องการข้อมูลเพิ่มเติมเช่นระยะเวลาของการเชื่อมต่อและปริมาณข้อมูลที่แลกเปลี่ยนในทั้งสองทิศทางดังนั้นconntrackd(บน Linux) น่าจะเป็นตัวเลือกที่ดีที่สุด

อย่างไรก็ตามโปรดทราบว่าทั้งสองข้อด้านบนจะบันทึกเฉพาะทราฟฟิกที่ผ่าน netfilter ซึ่งโดยทั่วไปคือทราฟฟิกทั้งหมด แต่ไม่ใช่บัญชีทราฟฟิกที่สร้างด้วย IP สแต็คในพื้นที่ผู้ใช้ (เช่นเครื่องเสมือนหรืออะไรก็ตามที่ใช้ซ็อกเก็ตดิบ)

สำหรับการแก้ปัญหาทั่วไปมากขึ้นคุณสามารถดูได้ที่สิ่งที่ต้องการargus, bro-ids, sancpหรือntopว่าเข้าสู่ระบบทุกประเภทของข้อมูลจากการเข้าชมพวกเขาสูดอากาศบนอินเตอร์เฟซ

ฉันได้พยายามพวงของเครื่องมือรวมทั้งiftop, ntop, iptrafและแน่นอนในตัวที่มีประโยชน์มากnetstat -tupln(ตัวเลือกการสนับสนุนเป็น OS ขึ้นอยู่) แต่ในทางปฏิบัติมากที่สุดสำหรับกรณีการใช้งานของฉันเปิดออกมาเป็นnethogs- มันมวลรวมการเชื่อมต่อโดยมีต้นกำเนิด แอพและมีเสียงรบกวนน้อยที่สุด

ติดตั้งผ่าน:

sudo apt-get install nethogs

เรียกใช้เป็นราก:

sudo nethogs

หากเป้าหมายของคุณคือเห็นการเชื่อมต่อ TCP ทั้งหมดที่เริ่มต้นโดยแอปใด ๆ คุณสามารถใช้:

sudo tcpdump -i lo -A | grep Host:

สิ่งที่ฉันคิดว่าคุณต้องการทำคือรับรายการฟังพอร์ตจากนั้นลบพอร์ตเหล่านั้นออกจากการเชื่อมต่อ TCP อื่น ๆ จากนั้นจะเป็นการเชื่อมต่อขาออกทั้งหมด คำสั่ง ss (สถานะซ็อกเก็ต) แสดงผลคอลัมน์ "Local Address: Port" และ "Peer Address: Port" เราจำเป็นต้องลบพอร์ตฟังจากคอลัมน์ "Local Address: Port" และไม่ใช่คอลัมน์ "Peer Address: Port" มิฉะนั้นคุณอาจพลาดการเชื่อมต่อขาออก ดังนั้นเพื่อให้บรรลุว่าฉันใช้\s{2}+หลังสตริง ": $ port" ใน grep เพื่อจับคู่กับช่องว่างที่มีอยู่หลังคอลัมน์ "Local Address: Port"; คอลัมน์นั้นมีช่องว่างสีขาวสองช่องขึ้นไปด้านหลังโดยที่ "ที่อยู่เพียร์: พอร์ต" มีช่องว่างหนึ่งช่องและจากนั้นขึ้นบรรทัดใหม่ (grrr ... ควรมีบรรทัดใหม่ IMO\s+\s{2}+.) ปกติผมอาจพยายามที่จะใช้ฟังก์ชั่นการกรองของ SS, ss -tn state established '(sport != :<port1> and sport !=:<port2>)' src <ip address>เช่นเดียวกับ แต่ปรากฏว่ามีข้อ จำกัด เกี่ยวกับความยาวของสตริงที่สามารถระเบิดมันออกมาในระบบที่ฉันมีพอร์ตการฟังจำนวนมาก ดังนั้นฉันจึงพยายามทำสิ่งเดียวกันกับ grep ฉันเชื่อว่าสิ่งต่อไปนี้จะได้ผล:

FILTER=$(ss -tn state listening | gawk 'NR > 1 {n=split($3,A,":"); B[NR-1]=A[n]} END {for (i=1; i<length(B); i++) printf ":%s\\s{2}+|", B[i]; printf ":%s\\s{2}+", B[i]}')

ss -tn state established dst :* | grep -P -v "$FILTER"

หมายเหตุสิ่งนี้ขึ้นอยู่กับรุ่นของเอสเอสที่คุณใช้รุ่นเก่า (เช่น: ยูทิลิตี้เอสเอส iproute2-ss111117) มีรูปแบบเอาต์พุตที่แตกต่างกันดังนั้นคุณอาจต้องใช้ $ 3 แทน $ 4 ใน awk หมายเหตุss -tlnและss -tn state listeningให้ผลลัพธ์ที่แตกต่างซึ่งเป็นเรื่องง่ายสำหรับฉัน YMMV

ฉันพบโซลูชันที่สวยงามกว่าเล็กน้อยซึ่งไม่ต้องการรู้ว่าโฮสต์ IP ss -tn state established dst :*ทำงานได้ดีฉันปรับเปลี่ยนบรรทัดคำสั่งด้านบน

tcpdumpช่วยให้คุณเห็นการรับส่งข้อมูล IP ทั้งหมดที่ไหลเข้า / ออกจากอินเทอร์เฟซเฉพาะพร้อมความสามารถในการกรองตามเกณฑ์ที่กำหนด tcpdumpโดยทั่วไปแล้วจะติดตั้งบนระบบ * nix ส่วนใหญ่โดยปกติแล้วหากไม่มีพอร์ตที่จะใช้สำหรับ distro เฉพาะของคุณ

netstat เป็นตัวเลือกที่ดีใช้พารามิเตอร์ตามต้องการ (ดู man page) ตัวอย่างเช่น

netstat -antup

ที่นี่สามารถตรวจสอบกระบวนการทั้งหมด (a) การฟังตัวเลข (n) tcp (t) และกระบวนการ udp (u) (p)

คุณยังสามารถลองssคำสั่ง สำหรับใช้อ้างอิง:

ข้อมูลเครือข่ายและซ็อกเก็ต SS Linux TCP / UDP

หากคุณเรียกใช้ Solaris หรืออนุพันธ์ลองดูที่conntrack