Los gráficos para un servidor que estoy usando muestran un tráfico de red saliente constante de 7.5 kb / s que comenzó hace unos días.
¿Cómo puedo monitorear / registrar / capturar / analizar este tráfico para ver qué es? ¿De dónde viene y adónde va?
El servidor es un linode (alojado en linode.com) que ejecuta linux debian lenny.
¿Hay algún rastreador de http de línea de comandos para linux?
Echa un vistazo a tshark .
Es como wireshark, pero luego para la línea de comandos. Solo instálalo con apt-get.
Puede encontrar un tutorial sobre cómo usarlo aquí . Puede filtrar fácilmente por http con él.
Para capturar el tráfico http:
tshark -R "tcp.port == 80" -r /tmp/capture.cap
Si el puerto 80 es su puerto http. Si no conoce el puerto, simplemente capture todo y luego puede filtrarlo para http. No es posible filtrar por http mientras se captura.
Los difusores
Para los sniffers de la línea de comandos, ejecute tcpdump . Puede ejecutar esto desde el propio servidor o desde otra computadora en el mismo segmento de red.
Capturar paquetes. Ctrl-C para detener la captura (recuerde detener la captura en algún momento ...):
tcpdump -w test.pcap -i eth0
Luego, para leer el archivo:
tcpdump -r test.pcap
Wireshark proporcionará una GUI agradable y más herramientas de análisis, pero funciona de manera muy similar a tcpdump.
Programas que envían datos
También querrá ejecutar netstat o lsof para ver a qué está conectado activamente el servidor y qué proceso local inició la conexión.
Todos los puertos TCP con el nombre del programa que los abrió:
netstat -pat
Lista de todos los puertos de internet abiertos:
lsof -i
Bro detecta el tráfico en puertos no estándar. A diferencia de otras herramientas, tiene una noción de tráfico entrante y saliente una vez que le indica el espacio de direcciones de su red:
bro -r trace.pcap local "Site::local_nets += { 1.2.3.0/24, 5.6.7.0/24 }"
Consulte la guía de inicio rápido para obtener detalles sobre cómo comenzar. Ejecutar Bro con los argumentos predeterminados, es decir,
bro -i <interface>
ya crea una variedad de archivos de registro en el directorio actual. El registro de conexión ( conn.log ) contiene, por ejemplo, entradas a lo largo de las líneas de:
# ts uid orig_h orig_p resp_h resp_p
1311627961.8 HSH4uV8KVJg 192.168.1.100 52303 192.150.187.43 80
Estos son solo un subconjunto de las columnas disponibles. Los archivos de registro están diseñados para que pueda procesarlos fácilmente con awk y amigos. Por ejemplo, para ver el desglose de la conexión por servicio:
bro-cut service < conn.log | sort | uniq -c
Este y otros análisis rápidos le dirán rápidamente lo que está sucediendo en su red.
otra opción es la herramienta iptraf - es increíble. rápido & fácil.
% sudo iptraf
Puede utilizar justniffer . Es un buen rastreador de http que registra el tráfico de red en formato de registro de apache.
Por lo tanto, puede postprocesar registros con cualquier analizador de registros web, como awstats o Piwik
Lea otras preguntas en las etiquetas network sniffer monitoring