monitoreando el tráfico de red saliente [cerrado]

6

Los gráficos para un servidor que estoy usando muestran un tráfico de red saliente constante de 7.5 kb / s que comenzó hace unos días.

¿Cómo puedo monitorear / registrar / capturar / analizar este tráfico para ver qué es? ¿De dónde viene y adónde va?

El servidor es un linode (alojado en linode.com) que ejecuta linux debian lenny.

¿Hay algún rastreador de http de línea de comandos para linux?

    
pregunta epeleg 29.03.2012 - 23:34
fuente

6 respuestas

7

Echa un vistazo a tshark .

Es como wireshark, pero luego para la línea de comandos. Solo instálalo con apt-get.

Puede encontrar un tutorial sobre cómo usarlo aquí . Puede filtrar fácilmente por http con él.

Para capturar el tráfico http:

tshark -R "tcp.port == 80" -r /tmp/capture.cap

Si el puerto 80 es su puerto http. Si no conoce el puerto, simplemente capture todo y luego puede filtrarlo para http. No es posible filtrar por http mientras se captura.

    
respondido por el Lucas Kauffman 29.03.2012 - 23:47
fuente
3

Los difusores

Para los sniffers de la línea de comandos, ejecute tcpdump . Puede ejecutar esto desde el propio servidor o desde otra computadora en el mismo segmento de red.

Capturar paquetes. Ctrl-C para detener la captura (recuerde detener la captura en algún momento ...):

  

tcpdump -w test.pcap -i eth0

Luego, para leer el archivo:

  

tcpdump -r test.pcap

Wireshark proporcionará una GUI agradable y más herramientas de análisis, pero funciona de manera muy similar a tcpdump.

Programas que envían datos

También querrá ejecutar netstat o lsof para ver a qué está conectado activamente el servidor y qué proceso local inició la conexión.

Todos los puertos TCP con el nombre del programa que los abrió:

  

netstat -pat

Lista de todos los puertos de internet abiertos:

  

lsof -i

    
respondido por el schroeder 29.03.2012 - 23:48
fuente
3

Bro detecta el tráfico en puertos no estándar. A diferencia de otras herramientas, tiene una noción de tráfico entrante y saliente una vez que le indica el espacio de direcciones de su red:

bro -r trace.pcap local "Site::local_nets += { 1.2.3.0/24, 5.6.7.0/24 }"

Consulte la guía de inicio rápido para obtener detalles sobre cómo comenzar. Ejecutar Bro con los argumentos predeterminados, es decir,

bro -i <interface>

ya crea una variedad de archivos de registro en el directorio actual. El registro de conexión ( conn.log ) contiene, por ejemplo, entradas a lo largo de las líneas de:

# ts          uid          orig_h        orig_p  resp_h         resp_p
1311627961.8  HSH4uV8KVJg  192.168.1.100 52303   192.150.187.43 80

Estos son solo un subconjunto de las columnas disponibles. Los archivos de registro están diseñados para que pueda procesarlos fácilmente con awk y amigos. Por ejemplo, para ver el desglose de la conexión por servicio:

bro-cut service < conn.log | sort | uniq -c

Este y otros análisis rápidos le dirán rápidamente lo que está sucediendo en su red.

    
respondido por el mavam 30.03.2012 - 20:50
fuente
3

otra opción es la herramienta iptraf - es increíble. rápido & fácil.

% sudo iptraf

    
respondido por el Tate Hansen 30.03.2012 - 21:06
fuente
3

Puede utilizar justniffer . Es un buen rastreador de http que registra el tráfico de red en formato de registro de apache.

Por lo tanto, puede postprocesar registros con cualquier analizador de registros web, como awstats o Piwik

    
respondido por el Diodore 28.05.2012 - 11:14
fuente
0

Hay muchas herramientas en el paquete dsniff ( enlace ) vea urlsnarf, etc.

    
respondido por el Misc 28.05.2012 - 13:44
fuente

Lea otras preguntas en las etiquetas