monitoraggio del traffico di rete in uscita [chiuso]

6

I grafici relativi a un server che sto utilizzando mostrano un traffico di rete in uscita costante da 7.5 kb / s avviato pochi giorni fa.

Come posso monitorare / registrare / acquisire / analizzare questo traffico per vedere di cosa si tratta, da dove viene e dove va?

Il server è un linodo (ospitato su linode.com) che esegue linux debian lenny.

Ci sono degli sniffer di http della riga di comando per Linux?

    
posta epeleg 29.03.2012 - 23:34
fonte

6 risposte

7

Dai un'occhiata a tshark .

È come wireshark, ma poi per linea di comando. Basta installarlo con apt-get.

Un tutorial su come usarlo può essere trovato qui . Puoi facilmente filtrare per http con esso.

Per acquisire il traffico http:

tshark -R "tcp.port == 80" -r /tmp/capture.cap

Se la porta 80 è la tua porta http. Se non si conosce la porta, è sufficiente catturare tutto e successivamente filtrarlo per http. Il filtro per http durante la cattura non è possibile.

    
risposta data 29.03.2012 - 23:47
fonte
3

sniffer

Per gli sniffer di riga di comando, esegui tcpdump . Puoi eseguirlo dal server stesso o da un altro computer nello stesso segmento di rete.

Cattura i pacchetti. Ctrl-C per fermare la cattura (ricorda di interrompere l'acquisizione ad un certo punto ...):

tcpdump -w test.pcap -i eth0

Quindi leggi il file:

tcpdump -r test.pcap

Wireshark fornirà una bella interfaccia grafica e altri strumenti di analisi, ma funziona molto come tcpdump.

Programmi che inviano dati

Dovrai anche eseguire netstat o lsof per vedere a cosa è connesso attivamente il server e quale processo locale ha avviato la connessione.

Tutte le porte TCP con il nome del programma che le ha aperte:

netstat -pat

Elenca tutte le porte Internet aperte:

lsof -i

    
risposta data 29.03.2012 - 23:48
fonte
3

Bro rileva il traffico su porte non standard. A differenza di altri strumenti, ha la nozione di traffico in entrata e in uscita una volta che gli dici lo spazio degli indirizzi della tua rete:

bro -r trace.pcap local "Site::local_nets += { 1.2.3.0/24, 5.6.7.0/24 }"

Consulta la guida introduttiva per i dettagli su come iniziare. Esecuzione di Bro con gli argomenti predefiniti, cioè.

bro -i <interface>

crea già una varietà di file di registro nella directory corrente. Il log di connessione ( conn.log ), contiene per esempio voci lungo le linee di:

# ts          uid          orig_h        orig_p  resp_h         resp_p
1311627961.8  HSH4uV8KVJg  192.168.1.100 52303   192.150.187.43 80

Questi sono solo un sottoinsieme delle colonne disponibili. I file di registro sono progettati in modo da poterli facilmente elaborare con awk e amici. Ad esempio, per vedere la ripartizione della connessione per servizio:

bro-cut service < conn.log | sort | uniq -c

Questa e altre analisi rapide ti diranno velocemente cosa sta succedendo nella tua rete.

    
risposta data 30.03.2012 - 20:50
fonte
3

un'altra opzione è lo strumento iptraf: è fantastico. veloce e amp; facile.

% sudo iptraf

    
risposta data 30.03.2012 - 21:06
fonte
3

Puoi usare justniffer . È uno sniffer http che registra il traffico di rete in formato di registro apache.

Quindi puoi postare i log con qualsiasi analizzatore di log web, come awstats o Piwik

    
risposta data 28.05.2012 - 11:14
fonte
0

Ci sono molti strumenti nel pacchetto dsniff ( link ) vedi urlsnarf, ecc.

    
risposta data 28.05.2012 - 13:44
fonte

Leggi altre domande sui tag