Мониторинг TCP-трафика на определенном порту

**: Я все еще повышаю голоса за этот год. Пожалуйста, не соглашайтесь с этим ответом, ответ с использованием iptables здесь намного лучше, на мой взгляд.

• *

tcpdump port 443 and '(tcp-syn|tcp-ack)!=0'

или только tcp-syn, или только tcp-ack (на мой взгляд), в зависимости от того, что вам нужно.

Вы можете использовать поддержку iptables в ядре Linux для этого. Плюсом является то, что это не требует дополнительного программного обеспечения, чтобы быть умеренно полезным. Недостатком является то, что для настройки требуются привилегии root (но учитывая, что вы говорите о порте 443, который является привилегированным портом, в большинстве решений вам, вероятно, нужны привилегии root).

Добавьте правило iptables с чем-то вроде:

sudo iptables -I INPUT -p tcp --dport 443 --syn -j LOG --log-prefix "HTTPS SYN: "

(Настройте часть -I INPUT на свой вкус.)

Когда правило сработает, ядро выдаст запись в syslog. Например, при вводе правила запись в журнале может выглядеть как:

5 декабря 09:10:56 имя хоста ядра: [1023963.185332] HTTPS SYN: IN=ifX OUT= MAC=80:80:80:80:80:80:80:80:08:00 SRC=A.B.C.D DST=W.X.Y. Z LEN=52 TOS=0x00 PREC=0x20 TTL=119 ID=11901 DF PROTO=TCP SPT=37287 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0

Вы можете использовать любой запущенный инструмент мониторинга журнала, чтобы сделать что-то полезное с этой информацией. Если ваша реализация syslog поддерживает это, вы даже можете направить их в отдельный лог-файл, эффективно выполняя ваше требование записывать данные соединения в файл с временными метками во второй без дополнительного программного обеспечения.

Обратите внимание, что цель LOG является непрерывистой целью, что означает, что любые правила, следующие за ней, все равно будут оценены, и пакет не будет либо отклонен, либо принят самим правилом LOG. Это делает целевое устройство LOG полезным и для отладки правил брандмауэра.

Чтобы избежать переполнения журнала, подумайте об использовании модуля limit вместе с этим. Смотрите man-страницу iptables(8) для подробностей.

Микросекундное разрешение

По умолчанию утилита tcpdump выдаст отчет о времени с микросекундным разрешением. Например:

$ sudo tcpdump -i any port 443

покажет вывод, аналогичный следующему:

12:08:14.028945 IP localhost.33255. > localhost.https: флаги [S], seq 1828376761, win 43690, options [mss 65495,sackOK,TS val 108010971 ecr 0,nop,wscale 7], length 0 12:08:14.028959 IP localhost.https > localhost.33255: Флаги [R.], seq 0, ack 1828376762, win 0, length 0

Смотрите tcpdump(8) для полного списка опций tcpdump, и pcap-filter(7) для полного синтаксиса фильтров, которые вы можете использовать.

443 является зашифрованным трафиком - так что в любом случае трудно сделать голову или хвост трафика на этом порту:

можно сделать

юм установку ngrep или apt-получить установку ngrep

, а затем запустить

ngrep -W byline -d any port 443 -q

Это может потребоваться также для мониторинга входящих и исходящих пакетов с других машин.

tcpflow -i eth0 -c port 7891

(опция -i для упоминания сети, опция -c для печати пакетов в консоли)

Вы можете использовать tcpdump или Wireshark.

Если вам нужно постоянное решение, которое всегда будет контролировать трафик на интересующих вас портах, я предлагаю использовать QoS (команда tc в linux). tc немного загадочна и недокументирована, поэтому я использую FireQoS для настройки QoS и netdata для его мониторинга в реальном времени.

Проверьте это для получения дополнительной информации: https://github.com/firehol/netdata/wiki/You-should-install-QoS-on-all-your-servers