Контроль трафіку TCP на певному порту

Я досить широко шукав це, але, здається, не можу створити робочий приклад.

Моя мета - відстежувати трафік TCP на певному порту, щоб побачити вхідні з'єднання та записати їх у текстовий файл. Можливо, мені також потрібна мітка часу на кожному рядку, щоб точно вказати, коли клієнт підключився до другого.

Я вже вичерпав netstat, nmap і tcptrack, але жодна мітка часу підтримки не підтримує.

Я думав, що сценарій оболонки Linux може спрацювати, якщо я моніторував би певний локальний порт і писав текст у файл, коли встановлюється з'єднання, то просто з'єднуйте дату в кожному рядку.

Я грав із цим:

netstat -ano|grep 443|grep ESTABLISHED

а також це:

tcptrack -i eth0 port 443

але це не відповідає моїм потребам, оскільки мені потрібен час, коли відбувається з'єднання.

Якщо у вас є якісь пропозиції або могли б направити мене в правильному напрямку, це буде дуже вдячно.

Дякую. :)

редагувати : Я все ще отримую гроші за це через роки. Будь ласка, не звертайтесь за цією відповіддю, відповідь, яка використовуєтьсяiptables тут, на мою думку набагато перевершує.

tcpdump port 443 and '(tcp-syn|tcp-ack)!=0'

або тільки tcp-syn, або тільки tcp-ack(я думаю, що це було б), залежно від того, що вам потрібно.

Для цього можна використовувати підтримку iptables в ядрі Linux. Перевага полягає в тому, що воно не потребує додаткового програмного забезпечення, щоб бути помірно корисним. Мінусом є те, що для налаштування потрібні кореневі привілеї (але, враховуючи, що ви говорите про порт 443, який є пільговим портом, вам, ймовірно, потрібні привілеї root з більшістю рішень).

Додайте правило iptables таким чином:

sudo iptables -I INPUT -p tcp --dport 443 --syn -j LOG --log-prefix "HTTPS SYN: "

(Відрегулюйте -I INPUTдеталь відповідно до вашого смаку.)

Коли це правило запускається, ядро ​​буде випускати запис в syslog. Наприклад, за допомогою правила введення запис у журналі може виглядати приблизно так:

5 грудня 09:10:56 ядро ​​імені хоста: [1023963.185332] HTTPS SYN: IN = ifX OUT = MAC = 80: 80: 80: 80: 80: 80: 80: 80: 80: 80: 80: 80: 08: 00 SRC = ABCD DST = WXYZ LEN = 52 TOS = 0x00 PREC = 0x20 TTL = 119 ID = 11901 DF PROTO = TCP SPT = 37287 DPT = 443 WINDOW = 8192 RES = 0x00 SYN URGP = 0

Потім ви можете скористатися будь-яким інструментом моніторингу запущених верстатів, щоб зробити щось корисне з цією інформацією. Якщо ваша підтримка syslog підтримує це, ви навіть можете направити їх в окремий файл журналу, ефективно виконуючи вашу вимогу записувати дані про з'єднання у файл, позначений часом до другого, без додаткового програмного забезпечення.

Зауважте, що LOGціль - це ціль, що не закінчується, а це означає, що будь-які правила, що слідують за нею, все ще будуть оцінені, і пакет не буде відхилений або прийнятий самим правилом LOG. Це робить LOGціль корисною також для налагодження правил брандмауера.

Щоб уникнути затоплення журналу, розгляньте можливість використання limitмодуля разом із цим. Докладні відомості див. На головній сторінці iptables (8).

Роздільна здатність мікросекунди

За замовчуванням утиліта tcpdump звітує про час з роздільною здатністю мікросекунди. Наприклад:

$ sudo tcpdump -i any port 443

покаже вихід, подібний до наступного:

12: 08: 14.028945 IP localhost.33255> localhost.https: Прапори [S], seq 1828376761, win 43690, варіанти [mss 65495, sackOK, TS val 108010971 ecr 0, nop, wscale 7], довжина 0
12:08: 14.028959 IP localhost.https> localhost.33255: Прапори [R.], seq 0, ack 1828376762, win 0, довжина 0

Повний список параметрів tcpdump див. У tcpdump (8) та pcap-filter (7) для повного синтаксису фільтрів, які ви можете використовувати.

443 - це зашифрований трафік - настільки важко все-таки зробити головами чи хвостами трафіку на цьому порту:

Ви можете зробити

yum встановити ngrep або apt-get install ngrep

потім біжи

ngrep -W byline -d any port 443 -q

Це може знадобитися і для контролю над вхідними та вихідними пакетами з інших машин.

tcpflow -i eth0 -c port 7891

(можливість -iзгадування мережі, можливість -cдруку пакетів у консолі)

Можна використовувати tcpdump або Wireshark.

Якщо вам потрібно постійне рішення, яке завжди буде контролювати трафік на порти, що цікавлять, я пропоную використовувати QoS (команда tc в Linux). tc трохи криптовалютний і недокументований, тому я використовую FireQoS для налаштування QoS та netdata для моніторингу його в режимі реального часу.

Перевірте це для отримання додаткової інформації: https://github.com/firehol/netdata/wiki/You-should-install-QoS-on-all-your-servers