Gibt es ein Linux-Server-Dienstprogramm, das die Netzwerkports und Protokolle auflisten kann, die über einen bestimmten Zeitraum aktiv waren?
Ich möchte beispielsweise wissen, welche Ports und Protokolle letzte Woche mindestens einmal aktiv waren. Die Antwort wäre etwa: TCP/80, TCP/443, UDP/5678...
Antwort1
Sie können es installieren und aktivieren auditd. Fügen Sie dort Regeln in der Audit-Konfiguration hinzu:
-a always,exit -F arch=b64 -S connect -F key=CONNECT
-a always,exit -F arch=b64 -S bind -F key=BIND
-a always,exit -F arch=b64 -S socket -F key=SOCKET
-a always,exit -F arch=b64 -S listen -F key=LISTEN
-a always,exit -F arch=b64 -S shutdown -F key=SHUTDOWN
-a always,exit -F arch=b64 -S close -F key=CLOSE
und Sie können in Prüfprotokollen Socket-bezogene Systemaufrufe überwachen.
Wenn Sie jetzt alte Informationen finden möchten (und nicht haben audit), glaube ich nicht, dass Sie in Linux relevante Informationen finden werden.
Antwort2
Eine Alternative zur Verfolgung innerhalb des Netzwerkstapels von Hosts ist die Verfolgung des Datenverkehrs auf der Leitung.
Nehmen Sie eine Paketerfassung der betreffenden Schnittstellen vor. Entweder auf diesem Host oder irgendwo im Pfad.
Es gibt verschiedene Tools, um das zu analysieren, auf jeden Fall TCP- und UDP-Informationen und möglicherweise einige Einblicke in Anwendungen. Wireshark ist kostenlos, aber bei weitem nicht das einzige Tool zur Paketanalyse.