Moniteur TCP Trafic sur un port spécifique

Question

J'ai beaucoup cherché, mais je n'arrive pas à trouver un exemple concret.

Mon objectif est de surveiller TCP le trafic sur un port spécifique pour voir les connexions entrantes et les écrire dans un fichier texte. Le problème est que j'ai également besoin d'un horodatage sur chaque ligne pour indiquer le moment exact où le client s'est connecté à la seconde.

J'ai déjà épuisé netstat, nmap et tcptrack, mais aucun ne prend en charge l'horodatage.

Je pensais qu'un script shell linux pourrait fonctionner si je surveillais un port local spécifique et écrivais du texte dans un fichier lorsqu'une connexion était établie, puis concaténait simplement la date sur chaque ligne.

Je jouais avec ça:

netstat -ano|grep 443|grep ESTABLISHED

ainsi que cette:

tcptrack -i eth0 port 443

mais ni l'un ni l'autre ne convient à mes besoins, car j'ai besoin du moment où la connexion entre en jeu.

Si vous avez des suggestions ou pouvez me diriger dans la bonne direction, ce serait grandement apprécié.

Merci. :)

Wrikken · Accepted Answer

edit : Je reçois toujours des votes pour ces années plus tard. S'il vous plaît, n'allez pas pour cette réponse, le réponse utilisant iptables ici est de loin supérieur à mon avis.

tcpdump port 443 and '(tcp-syn|tcp-ack)!=0'

ou seulement tcp-syn, ou seulement tcp-ack (ma supposition serait celle-là), selon ce dont vous avez besoin.

a CVn · Answer

Vous pouvez utiliser le support iptables dans le noyau Linux pour cela. L'avantage est qu'il ne nécessite aucun logiciel supplémentaire pour être modérément utile. L'inconvénient est que la configuration nécessite des privilèges root (mais étant donné que vous parlez du port 443, qui est un port privilégié, vous avez probablement besoin de privilèges root avec la plupart des solutions).

Ajoutez une règle iptables avec quelque chose comme:

Sudo iptables -I INPUT -p tcp --dport 443 --syn -j LOG --log-prefix "HTTPS SYN: "

(Ajustez la partie -I INPUT à votre goût.)

Lorsque la règle est déclenchée, une entrée syslog sera émise par le noyau. Par exemple, avec une règle de saisie, l’entrée de journal peut ressembler à ceci:

5 déc 09:10:56 noyau hôte: [1023963.185332] HTTPS SYN: IN = ifX SORTIE = MAC = 80: 80: 80: 80: 80: 80: 80: 80: 80: 80: 80: 08: 00 SRC = ABCD DST = WXYZ LEN = 52 TOS = 0x00 PREC = 0x20 TTL = 119 ID = 11901 DF PROTO = TCP SPT = 37287 DPT = 443 FENÊTRE = 8192 RES = 0x00 SYN URGP = 0

Vous pouvez ensuite utiliser n'importe quel outil de surveillance des journaux "run-of-the-mill" pour effectuer quelque chose d'utile avec ces informations. Si votre implémentation syslog le prend en charge, vous pouvez même les diriger vers un fichier journal séparé, ce qui vous permet d'écrire les données de connexion dans un fichier horodaté à la seconde, sans logiciel supplémentaire.

Notez que la cible LOG est une cible qui ne se termine pas, ce qui signifie que les règles qui la suivront seront toujours évaluées et que le paquet ne sera ni rejeté ni accepté par la règle LOG elle-même. Cela rend la cible LOG utile également pour le débogage des règles de pare-feu.

Pour éviter d’inonder votre journal, envisagez d’utiliser le module limit avec cela. Consultez la page de manuel iptables (8) pour plus de détails.

CodeGnome · Answer

Micro-seconde résolution

Par défaut, l'utilitaire tcpdump indiquera l'heure avec une résolution de l'ordre de la micro-seconde. Par exemple:

$ Sudo tcpdump -i any port 443

affichera une sortie similaire à celle-ci:

12: 08: 14.028945 IP localhost.33255> localhost.https: drapeaux [S], seq 1828376761, victoire 43690, options [mss 65495, sackOK, TS val 108010971 ecr 0, nop, échelle w 7], longueur 0
12: 08: 14.028959 IP localhost.https> localhost.33255: drapeaux [R.], seq 0, ack 1828376762, gagner 0, longueur 0

Voir tcpdump (8) pour une liste complète des options de tcpdump, et pcap-filter (7) pour la syntaxe complète des filtres que vous pouvez utiliser.

Vahid · Answer

443 est un trafic crypté - si difficile de toute façon de faire la queue ou la queue de trafic sur ce port:

tu peux faire

miam installer ngrep ou apt-get installer ngrep

puis courir

ngrep -W byline -d any port 443 -q

reegan vijay · Answer

Vous aurez peut-être également besoin de cela pour surveiller les paquets entrants et sortants d’autres machines.

tcpflow -i eth0 -c port 7891

(option -i pour mentionner le réseau, option -c pour imprimer les paquets dans la console)

sigjuice · Answer

Vous pouvez utiliser tcpdump ou Wireshark.

Costa Tsaousis · Answer

Si vous avez besoin d'une solution permanente qui sera toujours surveiller le trafic sur les ports d'intérêt, je vous suggère d'utiliser la qualité de service (la commande tc sous Linux). tc est un peu cryptique et sans papier, donc j'utiliser FireQoS à la qualité de service de configuration et netdata pour la surveillance en temps réel, il.

Vérifiez cela pour plus d'informations: https://github.com/firehol/netdata/wiki/You-should-install-QoS-on-all-your-servers