Мониторинг всего происходит и выходит из моей машины
Здравствуйте, я хочу добиться такой же безопасности, как я могу, на моей машине Ubuntu, поэтому я хочу проверить наличие подозрительных подключений. Любая идея, как контролировать сетевой трафик на моем компьютере? входящие и исходящие. Я также пробовал netstat -t -u -c и tcpdump, но хочу узнать, могу ли я использовать более эффективный инструмент. Спасибо!
8 ответов
Есть много инструментов и способов сделать это. множество утилит вроде: wireshark, netstat, nmap, iptraf, ss или даже lsof. различные брандмауэры, инструменты аудита и мониторинга могут помочь вам в достижении этой цели.
В основном зависит от вас, чего вы хотите достичь, какого процесса или какого вида трафика вы хотите контролировать и т. д.
wireshark
Для установки:
sudo apt-get install wireshark
Затем он спросит вас, хотите ли вы использовать проксихарк в качестве обычного пользователя, скажите «да» и добавьте себя в группу wirehark :
sudo gpasswd -a username wireshark
logout и login, вы готовы использовать wirehark. просто запустите его, выберите желаемый интерфейс ex: enp0s3 и нажмите start capturing, вы также можете сделать двойной щелчок по имени интерфейса. теперь вы можете видеть весь трафик, идущий в этом интерфейсе.
Вы можете применить фильтр для определенного типа трафика.
есть много способов применения фильтров, например: введите: http нажмите enter. теперь вы увидите все трафик http. или ip.src == 1.2.3.4 указать источник, или ip.dst для адресата. У вас также есть доступ к построителю выражений для создания сложного выражения, чтобы отфильтровать требуемый тип трафика.
Iptables logging
Вы можете включить ведение журнала в iptables:
[ f3]Затем, используя разные менеджеры журналов, вы можете следить за тем, что происходит, помните, что он создаст действительно огромные файлы журналов, потому что он будет регистрировать все!
Лучшее решение - трафик, о котором вы беспокоитесь, например:
sudo iptables -A INPUT -p udp --dport 53 -j LOG
, который регистрирует входящие пакеты с использованием протокола TCP в порту 53.
netstat
Вы можете сделать это с помощью этого инструмента, если хотите посмотреть, какие порты прослушивают:
netstat -tulnp
-t: tcp, -u: udp, -n: вместо этого использовать номер -l: прослушивание, -p: узнать, какой процесс прослушивает эти порты.
Добавить grep в магический материал с помощью netstat.
sudo netstat -ul | grep 53
ss
ss похож на netstat с множеством интересных вариантов. если я хочу перечислить TCP-соединения из моей сети 192.168.1.0/24 на 151.101.1.69 (это askubuntu IP), с портом назначения 80 или 443, я могу запустить:
ss -nt '( dport = :80 or dport = :443 )' src 192.168.1.0/24 dst 151.101.1.69
, или я могу видеть что было связано с процессом python:
ss -ap | grep python
nmap
с nmap Я могу сканировать компьютер или сеть, сканировать собственный интерфейс от порта 80 до 800 (для открытых портов):
nmap 192.168.0.1 -p 80-800
Предположим, что мой 80-портовый порт открыт, я могу использовать переключатель -sV, чтобы узнать, какой сервис с какой версией работает на этом порту:
$ nmap 192.168.1.1 -p 80 -sV
PORT STATE SERVICE VERSION
80/tcp open http Apache2
Есть много инструментов и способов сделать это. множество утилит вроде: wireshark, netstat, nmap, iptraf, ss или даже lsof. различные брандмауэры, инструменты аудита и мониторинга могут помочь вам в достижении этой цели.
В основном зависит от вас, чего вы хотите достичь, какого процесса или какого вида трафика вы хотите контролировать и т. д.
wireshark
Для установки:
sudo apt-get install wireshark
Затем он спросит вас, хотите ли вы использовать проксихарк в качестве обычного пользователя, скажите «да» и добавьте себя в группу wirehark :
sudo gpasswd -a username wireshark
logout и login, вы готовы использовать wirehark. просто запустите его, выберите желаемый интерфейс ex: enp0s3 и нажмите start capturing, вы также можете сделать двойной щелчок по имени интерфейса. теперь вы можете видеть весь трафик, идущий в этом интерфейсе.
Вы можете применить фильтр для определенного типа трафика.
есть много способов применения фильтров, например: введите: http нажмите enter. теперь вы увидите все трафик http. или ip.src == 1.2.3.4 указать источник, или ip.dst для адресата. У вас также есть доступ к построителю выражений для создания сложного выражения, чтобы отфильтровать требуемый тип трафика.
Iptables logging
Вы можете включить ведение журнала в iptables:
sudo iptables -A INPUT -j LOG
sudo iptables -A OUPUT -j LOG
Затем, используя разные менеджеры журналов, вы можете следить за тем, что происходит, помните, что он создаст действительно огромные файлы журналов, потому что он будет регистрировать все!
Лучшее решение - трафик, о котором вы беспокоитесь, например:
sudo iptables -A INPUT -p udp --dport 53 -j LOG
, который регистрирует входящие пакеты с использованием протокола TCP в порту 53.
netstat
Вы можете сделать это с помощью этого инструмента, если хотите посмотреть, какие порты прослушивают:
netstat -tulnp
-t: tcp, -u: udp, -n: вместо этого использовать номер -l: прослушивание, -p: узнать, какой процесс прослушивает эти порты.
Добавить grep в магический материал с помощью netstat.
sudo netstat -ul | grep 53
ss
ss похож на netstat с множеством интересных вариантов. если я хочу перечислить TCP-соединения из моей сети 192.168.1.0/24 на 151.101.1.69 (это askubuntu IP), с портом назначения 80 или 443, я могу запустить:
ss -nt '( dport = :80 or dport = :443 )' src 192.168.1.0/24 dst 151.101.1.69
, или я могу видеть что было связано с процессом python:
ss -ap | grep python
nmap
с nmap Я могу сканировать компьютер или сеть, сканировать собственный интерфейс от порта 80 до 800 (для открытых портов):
nmap 192.168.0.1 -p 80-800
Предположим, что мой 80-портовый порт открыт, я могу использовать переключатель -sV, чтобы узнать, какой сервис с какой версией работает на этом порту:
$ nmap 192.168.1.1 -p 80 -sV
PORT STATE SERVICE VERSION
80/tcp open http Apache2
Есть много инструментов и способов сделать это. множество утилит вроде: wireshark, netstat, nmap, iptraf, ss или даже lsof. различные брандмауэры, инструменты аудита и мониторинга могут помочь вам в достижении этой цели.
В основном зависит от вас, чего вы хотите достичь, какого процесса или какого вида трафика вы хотите контролировать и т. д.
wireshark
Для установки:
sudo apt-get install wireshark
Затем он спросит вас, хотите ли вы использовать проксихарк в качестве обычного пользователя, скажите «да» и добавьте себя в группу wirehark :
sudo gpasswd -a username wireshark
logout и login, вы готовы использовать wirehark. просто запустите его, выберите желаемый интерфейс ex: enp0s3 и нажмите start capturing, вы также можете сделать двойной щелчок по имени интерфейса. теперь вы можете видеть весь трафик, идущий в этом интерфейсе.
Вы можете применить фильтр для определенного типа трафика.
есть много способов применения фильтров, например: введите: http нажмите enter. теперь вы увидите все трафик http. или ip.src == 1.2.3.4 указать источник, или ip.dst для адресата. У вас также есть доступ к построителю выражений для создания сложного выражения, чтобы отфильтровать требуемый тип трафика.
Iptables logging
Вы можете включить ведение журнала в iptables:
sudo iptables -A INPUT -j LOG
sudo iptables -A OUPUT -j LOG
Затем, используя разные менеджеры журналов, вы можете следить за тем, что происходит, помните, что он создаст действительно огромные файлы журналов, потому что он будет регистрировать все!
Лучшее решение - трафик, о котором вы беспокоитесь, например:
sudo iptables -A INPUT -p udp --dport 53 -j LOG
, который регистрирует входящие пакеты с использованием протокола TCP в порту 53.
netstat
Вы можете сделать это с помощью этого инструмента, если хотите посмотреть, какие порты прослушивают:
netstat -tulnp
-t: tcp, -u: udp, -n: вместо этого использовать номер -l: прослушивание, -p: узнать, какой процесс прослушивает эти порты.
Добавить grep в магический материал с помощью netstat.
sudo netstat -ul | grep 53
ss
ss похож на netstat с множеством интересных вариантов. если я хочу перечислить TCP-соединения из моей сети 192.168.1.0/24 на 151.101.1.69 (это askubuntu IP), с портом назначения 80 или 443, я могу запустить:
ss -nt '( dport = :80 or dport = :443 )' src 192.168.1.0/24 dst 151.101.1.69
, или я могу видеть что было связано с процессом python:
ss -ap | grep python
nmap
с nmap Я могу сканировать компьютер или сеть, сканировать собственный интерфейс от порта 80 до 800 (для открытых портов):
nmap 192.168.0.1 -p 80-800
Предположим, что мой 80-портовый порт открыт, я могу использовать переключатель -sV, чтобы узнать, какой сервис с какой версией работает на этом порту:
$ nmap 192.168.1.1 -p 80 -sV
PORT STATE SERVICE VERSION
80/tcp open http Apache2
Есть много инструментов и способов сделать это. множество утилит вроде: wireshark, netstat, nmap, iptraf, ss или даже lsof. различные брандмауэры, инструменты аудита и мониторинга могут помочь вам в достижении этой цели.
В основном зависит от вас, чего вы хотите достичь, какого процесса или какого вида трафика вы хотите контролировать и т. д.
wireshark
Для установки:
sudo apt-get install wireshark
Затем он спросит вас, хотите ли вы использовать проксихарк в качестве обычного пользователя, скажите «да» и добавьте себя в группу wirehark :
sudo gpasswd -a username wireshark
logout и login, вы готовы использовать wirehark. просто запустите его, выберите желаемый интерфейс ex: enp0s3 и нажмите start capturing, вы также можете сделать двойной щелчок по имени интерфейса. теперь вы можете видеть весь трафик, идущий в этом интерфейсе.
Вы можете применить фильтр для определенного типа трафика.
есть много способов применения фильтров, например: введите: http нажмите enter. теперь вы увидите все трафик http. или ip.src == 1.2.3.4 указать источник, или ip.dst для адресата. У вас также есть доступ к построителю выражений для создания сложного выражения, чтобы отфильтровать требуемый тип трафика.
Iptables logging
Вы можете включить ведение журнала в iptables:
sudo iptables -A INPUT -j LOG
sudo iptables -A OUPUT -j LOG
Затем, используя разные менеджеры журналов, вы можете следить за тем, что происходит, помните, что он создаст действительно огромные файлы журналов, потому что он будет регистрировать все!
Лучшее решение - трафик, о котором вы беспокоитесь, например:
sudo iptables -A INPUT -p udp --dport 53 -j LOG
, который регистрирует входящие пакеты с использованием протокола TCP в порту 53.
netstat
Вы можете сделать это с помощью этого инструмента, если хотите посмотреть, какие порты прослушивают:
netstat -tulnp
-t: tcp, -u: udp, -n: вместо этого использовать номер -l: прослушивание, -p: узнать, какой процесс прослушивает эти порты.
Добавить grep в магический материал с помощью netstat.
sudo netstat -ul | grep 53
ss
ss похож на netstat с множеством интересных вариантов. если я хочу перечислить TCP-соединения из моей сети 192.168.1.0/24 на 151.101.1.69 (это askubuntu IP), с портом назначения 80 или 443, я могу запустить:
ss -nt '( dport = :80 or dport = :443 )' src 192.168.1.0/24 dst 151.101.1.69
, или я могу видеть что было связано с процессом python:
ss -ap | grep python
nmap
с nmap Я могу сканировать компьютер или сеть, сканировать собственный интерфейс от порта 80 до 800 (для открытых портов):
nmap 192.168.0.1 -p 80-800
Предположим, что мой 80-портовый порт открыт, я могу использовать переключатель -sV, чтобы узнать, какой сервис с какой версией работает на этом порту:
$ nmap 192.168.1.1 -p 80 -sV
PORT STATE SERVICE VERSION
80/tcp open http Apache2
Так как netstat и wirehark уже упоминаются.
Хорошей отправной точкой, прежде чем использовать их, может быть команда lsof (список открытых файлов), у нее есть флаг -i, который без аргумента перечисляет все сетевые сетевые файлы.
-i (список сетевых сетевых файлов) -P (запретить номера портов) -n (без преобразования номеров сетей)
, как в
lsof -i -P -n
Теперь это, вероятно, длинный список, и есть много дубликатов. Но вы можете обрезать это
$ lsof -i -P -n | cut -f 1 -d " " | tail -n +2 | sort | uniq
chrome
dropbox
firefox
python
thunderbi
vim
. Хотя это не дает вам много информации, это краткий обзор, и если что-то вас интересует, вы можете исследовать его дальше отсюда.
Имейте в виду, что здесь могут быть ложные срабатывания, в моем случае это будут vim и python, которые вызваны ycmd, vim-плагин, который я использую, работает как локальный серверный процесс.
Например , если бы я этого не знал, я мог бы проверить
$ ps ax | grep python
Чтобы увидеть все процессы и захватить порт там и проверить netstat.
$ netstat -p | grep 51635
tcp 1 0 localhost:41792 localhost:51635 CLOSE_WAIT 27413/vim
И, как уже упоминалось, это петлевой маршрут от ycmd, поэтому, фактически не выходя за пределы моей машины. Но теперь я знаю.
Так как netstat и wirehark уже упоминаются.
Хорошей отправной точкой, прежде чем использовать их, может быть команда lsof (список открытых файлов), у нее есть флаг -i, который без аргумента перечисляет все сетевые сетевые файлы.
-i (список сетевых сетевых файлов) -P (запретить номера портов) -n (без преобразования номеров сетей)
, как в
lsof -i -P -n
Теперь это, вероятно, длинный список, и есть много дубликатов. Но вы можете обрезать это
$ lsof -i -P -n | cut -f 1 -d " " | tail -n +2 | sort | uniq
chrome
dropbox
firefox
python
thunderbi
vim
. Хотя это не дает вам много информации, это краткий обзор, и если что-то вас интересует, вы можете исследовать его дальше отсюда.
Имейте в виду, что здесь могут быть ложные срабатывания, в моем случае это будут vim и python, которые вызваны ycmd, vim-плагин, который я использую, работает как локальный серверный процесс.
Например , если бы я этого не знал, я мог бы проверить
$ ps ax | grep python
Чтобы увидеть все процессы и захватить порт там и проверить netstat.
$ netstat -p | grep 51635
tcp 1 0 localhost:41792 localhost:51635 CLOSE_WAIT 27413/vim
И, как уже упоминалось, это петлевой маршрут от ycmd, поэтому, фактически не выходя за пределы моей машины. Но теперь я знаю.
Так как netstat и wirehark уже упоминаются.
Хорошей отправной точкой, прежде чем использовать их, может быть команда lsof (список открытых файлов), у нее есть флаг -i, который без аргумента перечисляет все сетевые сетевые файлы.
-i (список сетевых сетевых файлов) -P (запретить номера портов) -n (без преобразования номеров сетей)
, как в
lsof -i -P -n
Теперь это, вероятно, длинный список, и есть много дубликатов. Но вы можете обрезать это
$ lsof -i -P -n | cut -f 1 -d " " | tail -n +2 | sort | uniq
chrome
dropbox
firefox
python
thunderbi
vim
. Хотя это не дает вам много информации, это краткий обзор, и если что-то вас интересует, вы можете исследовать его дальше отсюда.
Имейте в виду, что здесь могут быть ложные срабатывания, в моем случае это будут vim и python, которые вызваны ycmd, vim-плагин, который я использую, работает как локальный серверный процесс.
Например , если бы я этого не знал, я мог бы проверить
$ ps ax | grep python
Чтобы увидеть все процессы и захватить порт там и проверить netstat.
$ netstat -p | grep 51635
tcp 1 0 localhost:41792 localhost:51635 CLOSE_WAIT 27413/vim
И, как уже упоминалось, это петлевой маршрут от ycmd, поэтому, фактически не выходя за пределы моей машины. Но теперь я знаю.
Так как netstat и wirehark уже упоминаются.
Хорошей отправной точкой, прежде чем использовать их, может быть команда lsof (список открытых файлов), у нее есть флаг -i, который без аргумента перечисляет все сетевые сетевые файлы.
-i (список сетевых сетевых файлов) -P (запретить номера портов) -n (без преобразования номеров сетей)
, как в
lsof -i -P -n
Теперь это, вероятно, длинный список, и есть много дубликатов. Но вы можете обрезать это
$ lsof -i -P -n | cut -f 1 -d " " | tail -n +2 | sort | uniq
chrome
dropbox
firefox
python
thunderbi
vim
. Хотя это не дает вам много информации, это краткий обзор, и если что-то вас интересует, вы можете исследовать его дальше отсюда.
Имейте в виду, что здесь могут быть ложные срабатывания, в моем случае это будут vim и python, которые вызваны ycmd, vim-плагин, который я использую, работает как локальный серверный процесс.
Например , если бы я этого не знал, я мог бы проверить
$ ps ax | grep python
Чтобы увидеть все процессы и захватить порт там и проверить netstat.
$ netstat -p | grep 51635
tcp 1 0 localhost:41792 localhost:51635 CLOSE_WAIT 27413/vim
И, как уже упоминалось, это петлевой маршрут от ycmd, поэтому, фактически не выходя за пределы моей машины. Но теперь я знаю.