Мониторинг сети linux

Использование tcpdump.

Чтобы проверить работает ли у нас tcpdump можно выполнить команду:

Существует довольно много ключей для использования самой утилиты tcpdump, приведу список распространенных:

основные ключи для использования tcpdump

Если нужно узнать какими пакетами обменивается 21 сервера ( например your_server_1 и your_server_2), то для этого служит команда:

Если нужно отслеживать только исходящие пакеты из хоста, то выполните:

Если нужно отслеживать только входящие пакеты из хоста, то выполните:

Так же можно прослушивать исходящие или входящие пакеты с сервера и по определенному порту для этого просто добавьте порт который нужно прослушивать ( в основном используется 80, 8080).

См. список интерфейсов, по которым tcpdumt можете слушать:

Слушать интерфейс eth0:

Слушать на любом доступном интерфейсе (Требуется ядро Linux версии 2.2 или выше):

Вывод всего на экран (все что выполняется программой):

Вывод много чего на экран (все что выполняется программой):

Вывод очень много всего на экран (все что выполняется программой):

Выводить не сильно много информации когда идет захват пакетов (не как стандартный):

Ограничить захват пакетов до 100:

Записать все данные (перехваченные пакеты) в файл с именем capture.cap:

Записать все данные (перехваченные пакеты) в файл с именем capture.cap и вывести на экран в режиме реального времени:

Вывод пакетов с файла capture.cap:

Вывод пакетов с файла capture.cap используя максимально много информации:

Вывод IP и порты вместо доменов идет захват пакетов:

Захват любых пакетов , где хост назначения — 192.138.1.1. Вывод ИП и порты на экран:

Захват любых пакетов c хоста 192.138.1.1. Вывод ИП и порты на экран:

Захват пакетов где сеть 192.138.1.0/24. Вывод ИП и порты на экран:

Захват пакетов с сети 192.138.1.0/24. Вывод ИП и порты на экран:

Захват пакетов с порта 23. Вывод ИП и порты на экран:

Захват пакетов с портов 1 по 1023. Вывод ИП и порты на экран:

Захватывать только TCP пакеты где destination на портах 1 по 1023. Вывод ИП и порты на экран:

Захватывать только UDP пакеты где destination на портах 1 по 1023. Вывод ИП и порты на экран:

Захват пакетов с destination где ИП 192.138.1.1 и destination порт которого 23. Вывод на экран:

Захват пакетов с destination где ИП 192.138.1.1 и destination по портам 80 или 443. Выводим на экран:

Захват любых ICMP пакетов:

Захват любых ARP пакетов:

Захват любых ICMP или ARP пакетов:

Захват любых пакетов которые broadcast или multicast:

Захват больших пакетов (500 байт) а не стандартных 68б:

Захват всех байт данных в пакете:

Просмотр «тяжелых пакетов»:

Захват пакетов ICMP с ping и pong:

Вывод без многих вариантов:

Основные коммуникации (очень подробный режим), можно увидеть хороший объем трафика, с многословием:

Глубокий взгляд на трафик, добавляет -X для полезной нагрузки:

Просмотр тяжелого пакета и увеличивает snaplength, захватывая весь пакет:

Вы можете также фильтровать на основе определенных частей пакета, а также объединить несколько условий в группы. Это полезно при поиске только SYNs или РСТ, например, и последний для еще более расширенный изоляцией трафика.

Показать мне все URGENT (URG) пакеты:

Показать мне всеACKNOWLEDGE (ACK) пакеты:

Показать мне все PUSH (PSH) пакеты:

Показать мне все RESET (RST) пакеты:

Показать мне все SYNCHRONIZE (SYN) пакеты:

Показать мне все FINISH (FIN) пакеты:

Показать мне все SYNCHRONIZE/ACKNOWLEDGE (SYNACK) пакеты:

Захват TCP Flags используя tcpflags:

Пакеты с RST и SYN флагами (проверка):

Траффик с ‘Evil Bit'(проверка):

На этом я завершу свою статью «установка и использование tcpdump», надеюсь все ясно и понятно. Спасибо за использование моего интернет ресурса https://bloglinux.ru

Опции.

-cВыход после числа пакетов.

-CПопробуйте использовать (принудительно) ANSI цветовой режим. Может быть использован, когда описание вашего текущего терминала не имеет цвета.

-eПоказать трафик Ethernet, а не IP. Можно переключаться между ними нажатием клавиши ENTER.

-fПечать «foreign» интернет адрес числом, а не символическими символами.

-FИспользуйте файл в качестве входных данных для выражения фильтра.

-iПрослушивание по имени интерфейса сети или по UDP порту для Cisco NetFlow. Если не указано, trafshow просматривает список системного интерфейса с наименьшим номером, сконфигурированный до интерфейса (за исключением проверки по шлейфу).

-kОтключить входную проверку клавиатуры. Он предназначен, чтобы избежать потери пакетов.

-nНе преобразовывать адреса хостов и номера портов в имена.

-NНе печатать доменное имя квалификации локального хоста.

-OНе запускать пакет сопоставления оптимизатора кода. Это полезно, только если вы подозреваете, что ошибка с оптимизатором.

-pНе ставлять интерфейс в неразборчивый режим.

-rЗадать интервал обновления экрана до нескольких секунд.

-tУстановить максимальное время ожидания для DNS-запросов до нескольких секунд.

-vРаспечатать подробную информацию о версии данной утилиты и затем выйти.

exprВыберите, какие пакеты будут отображаться. Если ни одно выражение не задано, будут выведены все пакеты в сети. В противном случае, только пакеты, для которых выражение «true» (правда) будет отображаться.

Для более подробной информации используйте мануал tcpdump.

На этом я завершаю свою тему «Установка trafshow для просмотра сетевой активности Linux/Unix».

Опции.

-c
Выход после числа пакетов.

-C
Попробуйте использовать (принудительно) ANSI цветовой режим. Может быть использован, когда описание вашего текущего терминала не имеет цвета.

-e
Показать трафик Ethernet, а не IP. Можно переключаться между ними нажатием клавиши ENTER.

-f
Печать «foreign» интернет адрес числом, а не символическими символами.

-F
Используйте файл в качестве входных данных для выражения фильтра.

-i
Прослушивание по имени интерфейса сети или по UDP порту для Cisco NetFlow. Если не указано, trafshow просматривает список системного интерфейса с наименьшим номером, сконфигурированный до интерфейса (за исключением проверки по шлейфу).

-k
Отключить входную проверку клавиатуры. Он предназначен, чтобы избежать потери пакетов.

-n
Не преобразовывать адреса хостов и номера портов в имена.

-N
Не печатать доменное имя квалификации локального хоста.

-O
Не запускать пакет сопоставления оптимизатора кода. Это полезно, только если вы подозреваете, что ошибка с оптимизатором.

-p
Не ставлять интерфейс в неразборчивый режим.

-r
Задать интервал обновления экрана до нескольких секунд.

-t
Установить максимальное время ожидания для DNS-запросов до нескольких секунд.

-v
Распечатать подробную информацию о версии данной утилиты и затем выйти.

expr
Выберите, какие пакеты будут отображаться. Если ни одно выражение не задано, будут выведены все пакеты в сети. В противном случае, только пакеты, для которых выражение «true» (правда) будет отображаться.

Для более подробной информации используйте мануал tcpdump.

На этом я завершаю свою тему «Установка trafshow для просмотра сетевой активности Linux/Unix».

Установка trafshow для просмотра сетевой активности Linux/Unix

Trafshow – Практически в реальном времени помогает оценить интенсивность использования канала. TrafShow постоянно показывать информацию о пакетном трафике для конфигурации сетевого интерфейса. Он периодически сортирует и обновляет эту информацию. Я сейчас приведу готовые примеры как установить данную утилиту и так же в своей статье «Установка trafshow для просмотра сетевой активности Linux/Unix» как можно пользоваться trafshow.

Debian/Ubuntu/Mint.

Чтобы установить на дебиано-подобные ОС утилиту trafshow, выполните следующую команду для этого:

В данный пакет входят следующие утилиты: trafshow,strobe,netwatch,statnet,tcpspray,tcpblas.

CentOS/RedHat/Fedora.

Чтобы установить на redhat-подобные ОС утилиту trafshow, выполните следующую команду для этого:

Замечание! Нужно только подключить репозиторий EPEL.

FreeBSD.

Чтобы установить на freeBSD утилиту trafshow, выполните следующую команду для этого:

Опции.

-c
Выход после числа пакетов.

-C
Попробуйте использовать (принудительно) ANSI цветовой режим. Может быть использован, когда описание вашего текущего терминала не имеет цвета.

-e
Показать трафик Ethernet, а не IP. Можно переключаться между ними нажатием клавиши ENTER.

-f
Печать «foreign» интернет адрес числом, а не символическими символами.

-F
Используйте файл в качестве входных данных для выражения фильтра.

-i
Прослушивание по имени интерфейса сети или по UDP порту для Cisco NetFlow. Если не указано, trafshow просматривает список системного интерфейса с наименьшим номером, сконфигурированный до интерфейса (за исключением проверки по шлейфу).

-k
Отключить входную проверку клавиатуры. Он предназначен, чтобы избежать потери пакетов.

-n
Не преобразовывать адреса хостов и номера портов в имена.

-N
Не печатать доменное имя квалификации локального хоста.

-O
Не запускать пакет сопоставления оптимизатора кода. Это полезно, только если вы подозреваете, что ошибка с оптимизатором.

-p
Не ставлять интерфейс в неразборчивый режим.

-r
Задать интервал обновления экрана до нескольких секунд.

-t
Установить максимальное время ожидания для DNS-запросов до нескольких секунд.

-v
Распечатать подробную информацию о версии данной утилиты и затем выйти.

expr
Выберите, какие пакеты будут отображаться. Если ни одно выражение не задано, будут выведены все пакеты в сети. В противном случае, только пакеты, для которых выражение «true» (правда) будет отображаться.

Для более подробной информации используйте мануал tcpdump.

На этом я завершаю свою тему «Установка trafshow для просмотра сетевой активности Linux/Unix».