Verifique o tráfego de rede de saída

11

No Ubuntu, como posso verificar quais informações estão sendo enviadas pela conexão de rede, quais programas estão sendo executados e com quais sites meu computador está se conectando?

Eu não sou paranoico com segurança, mas quem sabe?

    
por xyz 06.04.2013 / 15:55

3 respostas

15

Eu recomendaria iptraf ou iftop se você não precisa tanto funcionalidade. Na página inicial iptraf :

IPTraf is a console-based network statistics utility for Linux. It gathers a variety of figures such as TCP connection packet and byte counts, interface statistics and activity indicators, TCP/UDP traffic breakdowns, and LAN station packet and byte counts. Features

  • An IP traffic monitor that shows information on the IP traffic passing over your network. Includes TCP flag information, packet and byte counts, ICMP details, OSPF packet types.
  • General and detailed interface statistics showing IP, TCP, UDP, ICMP, non-IP and other IP packet counts, IP checksum errors, interface activity, packet size counts.
  • A TCP and UDP service monitor showing counts of incoming and outgoing packets for common TCP and UDP application ports
  • A LAN statistics module that discovers active hosts and shows statistics showing the data activity on them
  • TCP, UDP, and other protocol display filters, allowing you to view only traffic you're interested in.
  • Logging
  • Supports Ethernet, FDDI, ISDN, SLIP, PPP, and loopback interface types.
  • Utilizes the built-in raw socket interface of the Linux kernel, allowing it to be used over a wide range of supported network cards.
  • Full-screen, menu-driven operation.

Captura de tela do menu principal do iptraf:

Estaéumacapturadetelaseiftop:

    
por 06.04.2013 / 16:11
3

Você pode salvar os dados de saída usando o tcpdump, mas isso é muito (e grande parte deles é criptografado) que não será de uso real.

Melhor do que descobrir como você foi assaltado depois do fato é tornar o roubo mais difícil ... verificar o que está instalado, certificar-se de que está atualizado, excluir material desnecessário, livrar-se de software não oficial (e repositórios) , configure o firewall local, não desative o SELinux ou segurança similar , use boas senhas, tenha cuidado com os sites que visita, toda a higiene normal.

    
por 06.04.2013 / 16:15
1

Coisas como o bro IDS analisam o tráfego que passa por uma interface de rede e registra todos os tipos de coisas, como conexões e seu tráfego quantidade, protocolos encontrados e informações por protocolo (como solicitações HTTP, emails enviados, solicitações de DNS, nomes comuns de certificados SSL ...). Ele não diria a você qual aplicativo fez isso (exceto registrando agentes do usuário como para navegadores HTTP). Como ele fareja o pacote, ele pode perder alguns dados se não conseguir acompanhar a quantidade de dados que estão sendo trocados (embora isso seja reportado caso ocorra).

conntrackd pode ser usado para registrar todas as conexões rastreadas pelo firewall com monitoração de estado e quantos dados foram trocados. Funcionaria independentemente da quantidade de dados que passasse pelo sistema, mas não informaria que os dados não passariam pelo firewall como tráfego em ponte se excluídos do netfilter ou do tráfego bruto de soquete.

Você também pode usar regras de firewall para registrar o tráfego usando o destino LOG ou o ULOG em combinação com ulogd .

Para registrar o que pid faz a conexão, você precisaria usar o sistema de auditoria ( auditd / auditctl ), mas isso seria muito detalhado e não seria facilmente analisado.

    
por 06.04.2013 / 16:14