ตรวจสอบทราฟฟิกเครือข่ายขาออก

11

ใน Ubuntu ฉันจะตรวจสอบข้อมูลที่ถูกส่งผ่านการเชื่อมต่อเครือข่ายได้อย่างไรมีโปรแกรมอะไรบ้างและคอมพิวเตอร์ของฉันเชื่อมต่อกับเว็บไซต์ใด

ฉันไม่ได้หวาดระแวงเกี่ยวกับความปลอดภัย แต่ใครจะรู้?

linux  networking  security 
xyz
แหล่งที่มา

คำตอบ:

15

ฉันจะแนะนำiptrafหรือ iftopถ้าคุณไม่ต้องการฟังก์ชั่นมากมาย จากiptrafหน้าแรก:

IPTraf เป็นยูทิลิตี้สถิติเครือข่ายที่ใช้คอนโซลสำหรับ Linux มันรวบรวมตัวเลขที่หลากหลายเช่นแพ็คเก็ตการเชื่อมต่อ TCP และจำนวนไบต์สถิติอินเตอร์เฟสและตัวบ่งชี้กิจกรรมการแบ่งปริมาณการรับส่งข้อมูล TCP / UDP และจำนวนแพ็กเก็ตของสถานี LAN และจำนวนไบต์ คุณสมบัติ

  • เครื่องตรวจสอบปริมาณการใช้ IP ที่แสดงข้อมูลการรับส่งข้อมูล IP ผ่านเครือข่ายของคุณ รวมข้อมูลการตั้งค่าสถานะ TCP จำนวนแพ็กเก็ตและจำนวนไบต์รายละเอียด ICMP ประเภทแพ็กเก็ต OSPF
  • สถิติอินเตอร์เฟสทั่วไปและรายละเอียดที่แสดง IP, TCP, UDP, ICMP, ไม่ใช่ IP และจำนวนแพ็กเก็ต IP อื่น ๆ , ข้อผิดพลาดการตรวจสอบ IP, กิจกรรมอินเทอร์เฟซ, นับจำนวนแพ็คเก็ต
  • มอนิเตอร์เซอร์วิส TCP และ UDP แสดงจำนวนของแพ็กเก็ตขาเข้าและขาออกสำหรับพอร์ตแอ็พพลิเคชัน TCP และ UDP ทั่วไป
  • โมดูลสถิติ LAN ที่ค้นพบโฮสต์ที่ใช้งานอยู่และแสดงสถิติที่แสดงกิจกรรมข้อมูลของพวกเขา
  • ตัวกรองการแสดงผล TCP, UDP และโปรโตคอลอื่น ๆ ช่วยให้คุณดูเฉพาะทราฟฟิกที่คุณสนใจ
  • เข้าสู่ระบบ
  • รองรับ Ethernet, FDDI, ISDN, SLIP, PPP และประเภทอินเตอร์เฟสย้อนกลับ
  • ใช้ประโยชน์จากอินเตอร์เฟสซ็อกเก็ต raw ของเคอร์เนล Linux ทำให้สามารถใช้กับการ์ดเครือข่ายที่รองรับได้หลากหลาย
  • การทำงานแบบเต็มหน้าจอควบคุมด้วยเมนู

สกรีนช็อตของเมนูหลัก iptraf:

เมนูหลัก iptraf

นี่คือภาพหน้าจอถ้า iftop:

iftop

มาร์โก
แหล่งที่มา
3

คุณสามารถบันทึกข้อมูลที่ส่งออกโดยใช้ tcpdump แต่ที่เป็นเช่นนั้น (และมากของมันจะถูกเข้ารหัส) ว่ามันจะไม่นำไปใช้จริงใด ๆ

ดีกว่าการค้นหาว่าคุณถูกลักขโมยหลังจากที่ความจริงคือการทำให้การลักขโมยทำได้ยากยิ่งขึ้น ... ตรวจสอบสิ่งที่ติดตั้งตรวจสอบให้แน่ใจว่ามันเป็นข้อมูลล่าสุดลบสิ่งที่ไม่ต้องการกำจัดซอฟต์แวร์ที่ไม่เป็นทางการ (และที่เก็บ) ไฟร์วอลล์ในตัวเครื่องอย่าปิดการใช้งาน SELinux หรือความปลอดภัยที่คล้ายกันใช้รหัสผ่านที่ดีระวังเว็บไซต์ที่คุณเยี่ยมชมทุกแห่ง

vonbrand
แหล่งที่มา
1

สิ่งต่าง ๆ เช่นbro IDSจะวิเคราะห์ปริมาณการใช้งานที่ต้องผ่านเน็ตเวิร์กอินเตอร์เฟสและบันทึกทุกสิ่งเช่นการเชื่อมต่อและปริมาณการใช้งานโปรโตคอลที่พบและข้อมูลต่อโปรโตคอล (เช่นคำขอ HTTP, อีเมลที่ส่ง, คำขอ DNS, ชื่อทั่วไปใบรับรอง SSL ... ) มันจะไม่บอกคุณว่าแอปพลิเคชันทำอะไร (ยกเว้นโดยการบันทึกตัวแทนผู้ใช้เช่นสำหรับเบราว์เซอร์ HTTP) เนื่องจากมันดักจับแพ็คเก็ตจึงอาจพลาดข้อมูลบางส่วนหากไม่สามารถติดตามปริมาณข้อมูลที่ถูกแลกเปลี่ยนได้

conntrackdสามารถใช้เพื่อบันทึกการเชื่อมต่อที่ติดตามโดยไฟร์วอลล์สถานะและการแลกเปลี่ยนข้อมูลจำนวนมาก มันจะทำงานไม่ว่าปริมาณข้อมูลจะเข้าสู่ระบบ แต่จะไม่รายงานข้อมูลที่ไม่ผ่านไฟร์วอลล์เช่นการรับส่งข้อมูลบริดจ์หากไม่รวมอยู่ในทราฟฟิกฟิลเตอร์หรือการรับส่งข้อมูลซ็อกเก็ตดิบ

นอกจากนี้คุณยังสามารถใช้กฎไฟร์วอลล์เพื่อเข้าสู่ระบบการจราจรโดยใช้เป้าหมาย LOG หรือ ULOG ulogdหนึ่งร่วมกับ

ในการบันทึกสิ่งที่ pid ทำการเชื่อมต่อคุณจะต้องใช้ระบบการตรวจสอบ ( auditd/ auditctl) แต่นั่นจะละเอียดมากและไม่สามารถวิเคราะห์ได้ง่าย

Stéphane Chazelas
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.