I grafici relativi a un server che sto utilizzando mostrano un traffico di rete in uscita costante da 7.5 kb / s avviato pochi giorni fa.
Come posso monitorare / registrare / acquisire / analizzare questo traffico per vedere di cosa si tratta, da dove viene e dove va?
Il server è un linodo (ospitato su linode.com) che esegue linux debian lenny.
Ci sono degli sniffer di http della riga di comando per Linux?
Dai un'occhiata a tshark .
È come wireshark, ma poi per linea di comando. Basta installarlo con apt-get.
Un tutorial su come usarlo può essere trovato qui . Puoi facilmente filtrare per http con esso.
Per acquisire il traffico http:
tshark -R "tcp.port == 80" -r /tmp/capture.cap
Se la porta 80 è la tua porta http. Se non si conosce la porta, è sufficiente catturare tutto e successivamente filtrarlo per http. Il filtro per http durante la cattura non è possibile.
sniffer
Per gli sniffer di riga di comando, esegui tcpdump . Puoi eseguirlo dal server stesso o da un altro computer nello stesso segmento di rete.
Cattura i pacchetti. Ctrl-C per fermare la cattura (ricorda di interrompere l'acquisizione ad un certo punto ...):
tcpdump -w test.pcap -i eth0
Quindi leggi il file:
tcpdump -r test.pcap
Wireshark fornirà una bella interfaccia grafica e altri strumenti di analisi, ma funziona molto come tcpdump.
Programmi che inviano dati
Dovrai anche eseguire netstat o lsof per vedere a cosa è connesso attivamente il server e quale processo locale ha avviato la connessione.
Tutte le porte TCP con il nome del programma che le ha aperte:
netstat -pat
Elenca tutte le porte Internet aperte:
lsof -i
Bro rileva il traffico su porte non standard. A differenza di altri strumenti, ha la nozione di traffico in entrata e in uscita una volta che gli dici lo spazio degli indirizzi della tua rete:
bro -r trace.pcap local "Site::local_nets += { 1.2.3.0/24, 5.6.7.0/24 }"
Consulta la guida introduttiva per i dettagli su come iniziare. Esecuzione di Bro con gli argomenti predefiniti, cioè.
bro -i <interface>
crea già una varietà di file di registro nella directory corrente. Il log di connessione ( conn.log ), contiene per esempio voci lungo le linee di:
# ts uid orig_h orig_p resp_h resp_p
1311627961.8 HSH4uV8KVJg 192.168.1.100 52303 192.150.187.43 80
Questi sono solo un sottoinsieme delle colonne disponibili. I file di registro sono progettati in modo da poterli facilmente elaborare con awk e amici. Ad esempio, per vedere la ripartizione della connessione per servizio:
bro-cut service < conn.log | sort | uniq -c
Questa e altre analisi rapide ti diranno velocemente cosa sta succedendo nella tua rete.
un'altra opzione è lo strumento iptraf: è fantastico. veloce e amp; facile.
% sudo iptraf
Puoi usare justniffer . È uno sniffer http che registra il traffico di rete in formato di registro apache.
Quindi puoi postare i log con qualsiasi analizzatore di log web, come awstats o Piwik
Leggi altre domande sui tag monitoring network sniffer