Як я можу контролювати всі вихідні запити / з'єднання зі своєї машини?

Моя машина - це сервер, тому я хочу ігнорувати з'єднання, встановлені на моєму сервері (наприклад, коли хтось відвідує мій веб-сайт). Я хочу бачити лише з'єднання / запити, які здійснює мій сервер до інших місць.

Як я бачу лише ті вихідні з'єднання?

EDIT: Я новачок у подібних речах. Що я намагаюся зробити, це просто побачити, чи надсилається щось із мого сервера, окрім даних для моїх веб-додатків. Наприклад, якщо хтось відвідує мої веб-сайти, то, очевидно, мій сервер надсилатиме дані в браузер клієнта. Але припустимо, що також існує код у моєму веб-додатку, який надсилає статистичні дані кудись інше, про що я не знаю. Я хотів би бачити ті місця, на які сервер надсилає дані, якщо такі є. Це, мабуть, малоймовірно, але припустимо, ви вирішили використовувати рамку php або nodejs, яку ви не написали: є невеликий шанс, що вона може десь надіслати певний тип даних. Якщо так, це те, що я хотів би бачити.

Використовуйте netstat. Наприклад

$ netstat -nputw
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
[...]
tcp        0      0 192.168.25.222:22       192.168.0.134:42903     ESTABLISHED 32663/sshd: gert [p

перераховує всі вихідні з'єднання UDP ( u), TCP ( t) і RAW ( w) (не використовуючи lабо a) у числовій формі ( nзапобігає можливим тривалим запуску DNS-запитів) та включає pпов'язану з цим програму ( ).

Розгляньте можливість додавання cопції для постійного оновлення результатів.

Якщо ви хочете просто зареєструвати кожну спробу підключення, найпростіший, мабуть, iptables LOGнацілений на Linux (або еквівалентну функцію реєстрації брандмауера у вашій системі).

Якщо вам потрібна додаткова інформація, наприклад тривалість з'єднання та обмін даними, що обмінюються в обох напрямках, то conntrackd(на Linux), мабуть, найкращий варіант.

Однак зауважте, що ці два вище лише записують трафік, який проходить через netfilter, який, як правило, весь трафік, але не враховує трафік, генерований IP-стеками в просторі користувача (наприклад, віртуальними машинами або чим-небудь, що використовує необроблені сокети) або мостовим трафіком.

Для більш загальних рішень, ви можете поглянути на такі речі , як argus, bro-ids, sancpабо ntopщо реєструвати всі види інформації , засновані на трафіку вони нюхати на інтерфейсі.

Я пробував купу інструментів, в тому числі iftop, ntop, iptraf, і, звичайно, дуже корисна вбудована netstat -tupln(підтримуються опція залежить від операційної системи), але найбільш практичні для мого випадку використання виявилося nethogs- агрегує з'єднання з допомогою породжує додаток , і є найменш галасливим з усіх.

Встановлюється через:

sudo apt-get install nethogs

Запустити як корінь:

sudo nethogs

Якщо ваша мета - просто побачити всі TCP-з'єднання, ініційовані будь-яким додатком, ви можете використовувати:

sudo tcpdump -i lo -A | grep Host:

Я думаю, що ви хочете зробити, це отримати список портів прослуховування, а потім видалити їх з будь-яких інших підключень TCP, тоді це будуть всі вихідні з'єднання. Команда ss (статус сокета) виводить стовпці "Місцева адреса: порт" та "Адреса однорангової: порту", нам потрібно видалити порти прослуховування зі стовпця "Місцева адреса: Порт", а не стовпця "Peer Address: Port", інакше ви можете пропустити деякі вихідні з'єднання. Отже, щоб досягти того, що я використовую \s{2}+рядок ": $ port" у грепі, щоб відповідати пробілам, що знаходяться за стовпцем "Локальна адреса: Порт"; у цьому стовпці є два або більше білих пробілів за ним, де в "Peer Address: Port" є один пробіл, а потім новий рядок (grrr ... просто повинен бути новий рядок, IMO,\s+\s{2}+.) Зазвичай я можу спробувати використовувати функцію фільтрації ss, наприклад, з ss -tn state established '(sport != :<port1> and sport !=:<port2>)' src <ip address>. Але, схоже, існує обмеження щодо того, наскільки ця струна може бути, вона бомбардується в системі, де у мене було багато портів прослуховування. Тому я намагаюся зробити те ж саме з грепом. Я вважаю, що спрацює наступне:

FILTER=$(ss -tn state listening | gawk 'NR > 1 {n=split($3,A,":"); B[NR-1]=A[n]} END {for (i=1; i<length(B); i++) printf ":%s\\s{2}+|", B[i]; printf ":%s\\s{2}+", B[i]}')

ss -tn state established dst :* | grep -P -v "$FILTER"

Зауважте, це залежить від версії ss, яку ви використовуєте, старіші версії (наприклад: утиліта ss, iproute2-ss111117) мають інший вихідний формат, тому вам, можливо, доведеться використовувати $ 3 замість 4 доларів in awk. Зауважте також, ss -tlnі ss -tn state listeningви отримуєте різні результати, що для мене трохи не інтуїтивно зрозуміло. YMMV.

Я знайшов трохи більш елегантне рішення, яке не вимагає знання IP-адреси хоста, ss -tn state established dst :*працює добре, я змінив командні рядки вище.

tcpdumpдозволяє бачити весь IP-трафік, що надходить до / з певного інтерфейсу з можливістю фільтрації за певними критеріями. tcpdumpзазвичай встановлюється у більшості * nix систем за замовчуванням, якщо ні, зазвичай десь є порт, щоб захопити його для вашого конкретного дистрибутива.

netstat є хорошим варіантом. Використовуйте параметри, як потрібно. (див. його довідкові сторінки) Наприклад

netstat -antup

Тут він може контролювати весь (a) прослуховування числового (n) tcp (t) та udp (u) процесу (p).

Ви також можете спробувати ssкоманду. Для довідкового використання:

Інформація про мережу та розетку SS Linux TCP / UDP

Якщо ви користуєтеся Solaris або похідною, погляньте на conntrack