특정 포트에서 TCP 트래픽 모니터링

나는 이것을 광범위하게 검색했지만 실제 예를 제시 할 수는 없습니다.

내 목표는 특정 포트에서 TCP 트래픽을 모니터링하여 들어오는 연결을보고 텍스트 파일에 쓰는 것입니다. 캐치는 또한 클라이언트가 두 번째로 연결했을 때 정확하게 표시하려면 각 행에 타임 스탬프가 필요하다는 것입니다.

netstat, nmap 및 tcptrack을 이미 사용했지만 타임 스탬프를 지원하지 않습니다.

특정 로컬 포트를 모니터링하고 연결 할 때 파일에 텍스트를 쓴 다음 각 줄의 날짜를 연결하면 Linux 쉘 스크립트가 작동 할 수 있다고 생각했습니다.

나는 이것을 가지고 놀고 있었다 :

netstat -ano|grep 443|grep ESTABLISHED

뿐만 아니라 :

tcptrack -i eth0 port 443

그러나 연결이 시작되는 시간이 필요하기 때문에 어느 것도 내 요구에 맞지 않습니다.

당신이 어떤 제안이 있거나 올바른 방향으로 나를 가리킬 수 있다면 그것은 크게 감사하겠습니다.

감사. :)

편집 : 나는 아직도 몇 년 동안 여전히 투표를 받고 있습니다. 이 답변을 사용iptables 하지 마십시오. 여기를 사용 하는 대답 은 내 의견보다 훨씬 우수합니다.

tcpdump port 443 and '(tcp-syn|tcp-ack)!=0'

또는 당신이 필요로하는 것에 따라 tcp-syn또는 오직 tcp-ack(나의 추측 일 것입니다).

이를 위해 Linux 커널에서 iptables 지원을 사용할 수 있습니다. 단점은 적당히 유용한 추가 소프트웨어가 필요하지 않다는 것입니다. 단점은 설정하기 위해 루트 권한이 필요하다는 것입니다 (그러나 권한이있는 포트 인 포트 443에 대해 이야기하고 있다면 아마도 대부분의 솔루션에 루트 권한이 필요할 것입니다).

다음과 같이 iptables 규칙을 추가하십시오.

sudo iptables -I INPUT -p tcp --dport 443 --syn -j LOG --log-prefix "HTTPS SYN: "

( -I INPUT맛에 맞게 부분을 조정하십시오 .)

규칙이 트리거되면 커널에서 syslog 항목을 생성합니다. 예를 들어 입력 규칙의 경우 로그 항목은 다음과 같습니다.

12 월 5 일 09:10:56 호스트 이름 커널 : [1023963.185332] HTTPS SYN : IN = ifX OUT = MAC = 80 : 80 : 80 : 80 : 80 : 80 : 80 : 80 : 80 : 80 : 80 : 80 : 08 : 00 SRC = ABCD DST = WXYZ LEN = 52 TOS = 0x00 PREC = 0x20 TTL = 119 ID = 11901 DF PROTO = TCP SPT = 37287 DPT = 443 창 = 8192 RES = 0x00 SYN URGP = 0

그런 다음 모든 실행 로그 모니터링 도구를 사용하여이 정보에 유용한 작업을 수행 할 수 있습니다. syslog 구현이이를 지원하는 경우 별도의 로그 파일로 지정하여 추가 소프트웨어없이 두 번째로 타임 스탬프 된 파일에 연결 데이터를 작성해야하는 요구 사항을 효과적으로 충족 할 수 있습니다.

참고 것이 LOG대상이 어떤 규칙이 여전히 평가되는 것을 의미 다음 비 착신 대상이고, 상기 패킷 중 하나를 거부하거나 LOG 규칙 자체가 허용되지 않을 것이다. 따라서 LOG방화벽 규칙을 디버깅 할 때도 대상이 유용합니다.

로그가 넘치지 않게하려면 limit이와 함께 모듈을 사용하는 것이 좋습니다. 자세한 내용은 iptables (8) 매뉴얼 페이지를 참조하십시오.

마이크로 초 해상도

기본적으로 tcpdump 유틸리티는 마이크로 초 분해능으로 시간을보고합니다. 예를 들면 다음과 같습니다.

$ sudo tcpdump -i any port 443

다음과 유사한 출력이 표시됩니다.

12 : 08 : 14.028945 IP localhost.33255> localhost.https : 플래그 [S], seq 1828376761, win 43690, 옵션 [mss 65495, sackOK, TS val 108010971 ecr 0, nop, wscale 7], 길이 0
12:08 : 14.028959 IP localhost.https> localhost.33255 : 플래그 [R.], seq 0, ack 1828376762, 승리 0, 길이 0

tcpdump 옵션의 전체 목록은 tcpdump (8) 및 사용 가능한 필터의 전체 구문은 pcap-filter (7)를 참조하십시오.

443은 암호화 된 트래픽이므로이 포트에서 트래픽을 발생시키기 어렵습니다.

넌 할 수있어

yum 설치 ngrep 또는 apt-get 설치 ngrep

그런 다음 실행

ngrep -W byline -d any port 443 -q

다른 시스템에서 들어오고 나가는 패킷을 모니터링하기 위해이 작업이 필요할 수도 있습니다.

tcpflow -i eth0 -c port 7891

( -i네트워크 언급 옵션 , -c콘솔에서 패킷을 인쇄하는 옵션 )

tcpdump 또는 Wireshark를 사용할 수 있습니다.

관심있는 포트의 트래픽을 항상 모니터링하는 영구적 인 솔루션이 필요한 경우 QoS (linux의 tc 명령)를 사용하는 것이 좋습니다. tc는 약간 비밀스럽고 문서화되어 있지 않기 때문에 FireQoS를 사용하여 실시간 모니터링을 위해 QoS 및 netdata를 설정합니다.

자세한 내용은 https://github.com/firehol/netdata/wiki/You-should-install-QoS-on-all-your-servers에서 확인하십시오.