Kiểm tra lưu lượng mạng đi

11

Trong Ubuntu, làm cách nào tôi có thể kiểm tra thông tin nào đang được gửi qua kết nối mạng, chương trình nào đang thực hiện và máy tính của tôi đang kết nối với trang web nào?

Tôi không hoang tưởng về an ninh, nhưng ai biết?

linux  networking  security 
XYZ
nguồn

Câu trả lời:

15

Tôi muốn giới thiệu iptraf hoặc iftop nếu bạn không cần nhiều chức năng đó. Từ iptraftrang chủ:

IPTraf là tiện ích thống kê mạng dựa trên bảng điều khiển dành cho Linux. Nó tập hợp một loạt các số liệu như gói kết nối TCP và số byte, số liệu thống kê giao diện và chỉ số hoạt động, phân tích lưu lượng TCP / UDP, và số lượng gói và số byte của trạm LAN. Đặc trưng

  • Trình giám sát lưu lượng IP hiển thị thông tin về lưu lượng IP đi qua mạng của bạn. Bao gồm thông tin cờ TCP, số lượng gói và byte, chi tiết ICMP, loại gói OSPF.
  • Thống kê giao diện chung và chi tiết hiển thị IP, TCP, UDP, ICMP, không phải IP và số gói IP khác, lỗi kiểm tra IP, hoạt động giao diện, số lượng kích thước gói.
  • Trình giám sát dịch vụ TCP và UDP hiển thị số lượng gói đến và đi cho các cổng ứng dụng TCP và UDP phổ biến
  • Một mô-đun thống kê LAN phát hiện các máy chủ hoạt động và hiển thị số liệu thống kê hiển thị hoạt động dữ liệu trên chúng
  • TCP, UDP và các bộ lọc hiển thị giao thức khác, cho phép bạn chỉ xem lưu lượng truy cập mà bạn quan tâm.
  • Ghi nhật ký
  • Hỗ trợ các loại giao diện Ethernet, FDDI, ISDN, SLIP, PPP và loopback.
  • Sử dụng giao diện ổ cắm thô tích hợp của nhân Linux, cho phép nó được sử dụng trên một loạt các card mạng được hỗ trợ.
  • Toàn màn hình, thao tác điều khiển menu.

Ảnh chụp màn hình của menu chính iptraf:

menu chính của iptraf

Đây là một ảnh chụp màn hình nếu iftop:

iftop

Marco
nguồn
3

Bạn có thể lưu dữ liệu gửi đi bằng tcpdump, nhưng đó là rất nhiều (và phần lớn được mã hóa) mà nó sẽ không được sử dụng thực sự.

Tốt hơn là tìm ra cách bạn bị đánh cắp sau khi thực tế là làm cho vụ trộm trở nên khó khăn hơn ... kiểm tra những gì đã được cài đặt, đảm bảo nó được cập nhật, xóa những thứ không cần thiết, loại bỏ phần mềm không chính thức (và kho lưu trữ), định cấu hình tường lửa cục bộ, không vô hiệu hóa Selinux hoặc bảo mật tương tự , sử dụng mật khẩu tốt, cẩn thận với các trang web bạn truy cập, tất cả các vệ sinh bình thường.

vonbrand
nguồn
1

Những thứ như bro IDS sẽ phân tích lưu lượng đi qua giao diện mạng và ghi nhật ký tất cả mọi thứ như kết nối và lượng lưu lượng truy cập, giao thức được tìm thấy và thông tin trên mỗi giao thức (như yêu cầu HTTP, thư được gửi, yêu cầu DNS, tên chung của chứng chỉ SSL ...). Nó sẽ không cho bạn biết ứng dụng nào đã làm điều đó (trừ khi đăng nhập các tác nhân người dùng như đối với trình duyệt HTTP). Bởi vì nó đánh hơi gói tin, nó có thể bỏ lỡ một số dữ liệu nếu nó không theo kịp lượng dữ liệu được trao đổi (mặc dù nó sẽ báo cáo nếu có).

conntrackdcó thể được sử dụng để ghi nhật ký mọi kết nối được theo dõi bởi tường lửa trạng thái và nhiều dữ liệu đã được trao đổi. Nó sẽ hoạt động bất kể lượng dữ liệu đi qua hệ thống, nhưng sẽ không báo cáo dữ liệu không đi qua tường lửa như lưu lượng cầu nếu bị loại trừ khỏi lưu lượng mạng hoặc bộ lưu trữ thô.

Bạn cũng có thể sử dụng các quy tắc tường lửa để ghi nhật ký lưu lượng truy cập bằng cách sử dụng mục tiêu LOG ​​hoặc ULOG kết hợp với ulogd.

Để ghi lại những gì pid thực hiện kết nối, bạn cần sử dụng hệ thống kiểm toán ( auditd/ auditctl), nhưng điều đó sẽ rất dài dòng và không dễ dàng phân tích.

Stéphane Chazelas
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.