Скажите, какие порты использовались в течение определенного периода времени
Я боролся с поставщиком серверов, пытаясь смонтировать несколько сервисов для моей компании, это потому, что у них строгая политика брандмауэра, которая запрещает любой запрещенный доступ к Интернету IN / OUT, это было бы ничем (на самом деле могло бы быть здорово ), если бы я мог контролировать поведение брандмауэра, но все проходит через меня и еще 2 человек, так что это утомительно. Я решил следить за другим хостом со всеми открытыми портами и проверять, какие порты используются в течение определенного периода времени.
Я попытался использовать постоянную netstat, но это не сработало, как ожидалось, поскольку кратковременные соединения не были указаны.
Итак, как я могу узнать, какие порты зарегистрировали активность в течение определенного периода времени? (хоть немного информации). Мне нужны следующие данные: номер порта, направление трафика, исходный и целевой IP-адреса и, в идеале, какая программа его запустила.
Идея состоит в том, чтобы улавливать эту информацию быстро и точно, по возможности избегая чтения длинных журналов с риском человеческой ошибки.
Я использую GNU / linux на обоих серверах.
Вы правы, вам будет нелегко поймать все недолговечные связи через netstat. Вероятно, вы захотите использовать tcpdump на вашем сервере (ах) и запустите захват трафика на определенный период времени. Например, фильтр ниже будет захватывать весь трафик, прибывающий или покидающий eth0 интерфейс и записать вывод в pcap файл для автономного анализа.
tcpdump -s0 -i eth0 -w eth0_traffic.pcap
Получив файл, вы можете открыть его в Wireshark а затем перейдите к Statistics > Converstations в верхнем меню, чтобы увидеть все соединения IP, TCP, UDP и т. д., включая исходный и целевой IP и номер порта. Например:
