¿Cómo puedo monitorear todas las solicitudes / conexiones salientes de mi máquina?

Mi máquina es un servidor, por lo que quiero ignorar las conexiones que se realizan a mi servidor (por ejemplo, cuando alguien visita mi sitio web). Quiero ver solo conexiones / solicitudes realizadas por mi servidor a otros lugares.

¿Cómo veo solo esas conexiones salientes?

EDITAR: Soy nuevo en este tipo de cosas. Lo que intento hacer es ver si se está enviando algo de mi servidor que no sea datos para mis aplicaciones web. Por ejemplo, si alguien visita mis sitios web, obviamente mi servidor enviará datos al navegador del cliente. Pero supongamos que también hay código en algún lugar del marco de mi aplicación web que envía datos estadísticos a otro lugar que no conozco. Me gustaría ver aquellos lugares a los que mi servidor envía datos, si los hay. Probablemente no sea probable, pero supongamos que decide utilizar un marco php o nodejs que no escribió: hay una pequeña posibilidad de que envíe algún tipo de datos a alguna parte. Si es así, eso es lo que me gustaría ver.

Utilizar netstat. Por ejemplo

$ netstat -nputw
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
[...]
tcp        0      0 192.168.25.222:22       192.168.0.134:42903     ESTABLISHED 32663/sshd: gert [p

enumera todas las conexiones salientes UDP ( u), TCP ( t) y RAW ( w) (que no usan lo a) en forma numérica ( n, evita posibles consultas DNS de larga duración) e incluye el programa ( p) asociado con eso.

Considere agregar la copción para que la salida se actualice continuamente.

Si solo desea registrar cada intento de conexión, el más fácil probablemente sea el iptables LOGobjetivo en Linux (o la función de registro de firewall equivalente en su sistema).

Si necesita más información como la duración de la conexión y la cantidad de datos intercambiados en ambas direcciones, entonces conntrackd(en Linux) es probablemente la mejor opción.

Sin embargo, tenga en cuenta que los dos anteriores solo registran el tráfico que pasa a través de netfilter, que generalmente es todo el tráfico pero no tiene en cuenta el tráfico generado con pilas de IP en el espacio del usuario (como máquinas virtuales o cualquier cosa que use sockets sin procesar) o tráfico puenteado.

Para soluciones más generales, se puede echar un vistazo a cosas como argus, bro-ids, sancpo ntopque ingrese todo tipo de información sobre la base de tráfico que huelen en una interfaz.

He probado un montón de herramientas, incluidas iftop, ntopy iptraf, por supuesto, las muy útiles integradas netstat -tupln(las opciones compatibles dependen del sistema operativo), pero resultó ser la más práctica para mi caso de uso nethogs: agrega conexiones por el origen aplicación , y es el menos ruidoso de todos.

Instalable a través de:

sudo apt-get install nethogs

Ejecutar como root:

sudo nethogs

Si su objetivo es ver todas las conexiones TCP iniciadas por cualquier aplicación, puede usar:

sudo tcpdump -i lo -A | grep Host:

Lo que creo que quieres hacer es obtener una lista de puertos de escucha y luego eliminarlos de cualquier otra conexión TCP, entonces todas esas conexiones saldrán. El comando ss (estado del socket) genera las columnas "Dirección local: puerto" y "Dirección par: puerto", necesitamos eliminar los puertos de escucha de la columna "Dirección local: puerto" y no la columna "Dirección par: puerto", de lo contrario, puede perder algunas conexiones salientes. Para lograr eso, estoy usando \s{2}+detrás de la cadena ": $ port" en el grep para que coincida con los espacios que existen detrás de la columna "Dirección local: puerto"; esa columna tiene dos o más espacios en blanco detrás, donde la "Dirección de pares: Puerto" tiene un espacio y luego una nueva línea (grrr ... debería tener una nueva línea, IMO,\s+\s{2}+.) Normalmente podría intentar usar la funcionalidad de filtrado de ss, como con ss -tn state established '(sport != :<port1> and sport !=:<port2>)' src <ip address>. Pero parece que hay un límite en cuanto al tiempo que puede durar esa cadena, se bombardeó en un sistema donde tenía muchos puertos de escucha. Así que estoy tratando de hacer lo mismo con grep. Creo que lo siguiente funcionará:

FILTER=$(ss -tn state listening | gawk 'NR > 1 {n=split($3,A,":"); B[NR-1]=A[n]} END {for (i=1; i<length(B); i++) printf ":%s\\s{2}+|", B[i]; printf ":%s\\s{2}+", B[i]}')

ss -tn state established dst :* | grep -P -v "$FILTER"

Tenga en cuenta que esto depende de la versión de ss que esté usando, las versiones anteriores (como: ss utility, iproute2-ss111117) tienen un formato de salida diferente, por lo que es posible que deba usar $ 3 en lugar de $ 4 en awk. Tenga en cuenta también ss -tlny ss -tn state listeningle da una salida diferente, lo cual es un poco intuitivo para mí. YMMV.

Encontré una solución un poco más elegante que no requiere conocer la IP del host, ss -tn state established dst :*funciona bien, modifiqué las líneas de comando anteriores.

tcpdumple permite ver todo el tráfico IP que fluye hacia / desde una interfaz específica con la capacidad de filtrar según ciertos criterios. tcpdumpPor lo general, se instala en la mayoría de los sistemas * nix de forma predeterminada, si no, generalmente hay un puerto en algún lugar para tomarlo para su distribución específica.

netstat es una buena opción. Utilice los parámetros según sea necesario. (consulte sus páginas de manual) Por ejemplo

netstat -antup

Aquí puede monitorear todo (a) proceso numérico de escucha (n) tcp (t) y udp (u) (p).

También puedes probar el sscomando. Para uso de referencia:

SS Red TCP / UDP e información de socket

Si ejecuta Solaris o un derivado, eche un vistazo a conntrack