Мне было поручено включить локальный брандмауэр на более чем 100 серверах. В системах работает множество различных приложений, использующих множество разных портов. Я начал со сканирования nmap, но, не заходя в каждую систему и не наблюдая за потоком данных (tcpdump), я не могу придумать способ, которым я могу увидеть, действительно ли эти открытые порты подключаются и используются. Я знаю, что, вероятно, есть трудные способы сделать это, но я надеюсь, что есть и легкий.
Есть ли инструмент / сценарий, который будет отслеживать открытые порты (например, netstat) с течением времени (в отличие от netstat без необычных сценариев) и помещать результаты в какую-либо форму архива / журнала?
Что за механизм переключения / маршрутизации находится в центре всего этого? Причина, по которой я спрашиваю, заключается в том, что это, кажется, идеальный случай для выборки данных netflow с ваших коммутаторов. Это, конечно, потребует сетевого оборудования, которое поддерживает экспорт данных netflow.
Если не считать этого, все, о чем я могу думать, - это запустить tcpdump на каждом хосте и затем каким-то образом агрегировать данные. Однако при необходимости это должно быть легко написано.
Я бы пошел с tcpdump и nmap: сначала я просканирую целевые машины в поисках открытых портов и предположу, что эти порты уже используются, с целью сузить ваш tcpdump portrange параметр для TCP и UDP. Я бы тогда побежал tcpdump -w /some/file.pcap portrange <your_nmap_range> на день, неделю или что-то еще, а затем найдите установленные соединения.
Вы также можете сделать что-то подобное с perfmon, если хотите придерживаться Windows. Я почти уверен, что есть счетчики TCP / IP, и они также могут включать идентификатор процесса, который вы можете сузить.
Вы также можете найти tcpview использования от Sysinternals, но я не знаю, может ли он регистрироваться или нет.
Это звучит как «правильный инструмент» для вопроса типа работы. Я люблю хорошую командную строку; однако для чего-то подобного вам действительно нужно изучить инструменты с графическим интерфейсом пользователя и базы данных, которые будут выполнять автоматическое сопоставление сетевых зависимостей. Многие поставщики продают такие устройства, и многие предлагают 30-дневные бесплатные пробные версии (сразу приходит на ум Ipswitch WhatsUp).