Wie kann ich den Linux-Kernel verwenden, um zu überwachen, was passiert, was neue Verbindungen, neue Ports und verbundene Hosts betrifft? Ich werde beispielsweise einen neuen Sniffer erstellen. Welche Dateien sollte ich überwachen, um zu wissen, was vor sich geht?
Wenn beispielsweise ein Server keine SSH-Verbindungen hat und dann ein neuer Host über Port 22 verbunden wird, möchte ich eine Warnung für diese neue Verbindung erhalten. Wenn die Verbindung zum Host getrennt wird, wird eine weitere Warnung ausgeführt.
Antwort1
Etwas vage, aber ... Netstat zeigt den Status der aktuell offenen Verbindungen für den lokalen Computer an, es gibt Sachen in /proc/net, mit denen Sie clevere Sachen in Echtzeit machen können, oder es gibt Programme wie tcpdump, die Ihnen Rohpaketprotokolle liefern (Sie können einen Filter erstellen, wenn Sie an spezifischeren Dingen interessiert sind), zusammen mit Tools wie Wireshark für die Paketprotokollanalyse. Was /genau/ ist Ihr Ziel, das könnte Ihnen helfen, besser beraten zu können.
Antwort2
Wenn Sie nur sofort sehen möchten, welche IPs verbunden sind und welche Verbindung Netzwerkverkehr generiert, können Sie es versuchen iptraf.
Wenn Sie weitere Funktionen wie Abrechnung, Diagramme und Fernüberwachung wünschen, können Sie es versuchen ntop. NtopWird als Daemon ausgeführt, erfolgen Überwachung und Verwaltung über einen Browser unter localhost:3000.