Existe um utilitário de servidor Linux que pode listar as portas e protocolos de rede que estiveram ativos durante um determinado período de tempo?
Por exemplo, gostaria de saber quais portas e protocolos estiveram ativos pelo menos uma vez na semana passada. A resposta seria algo como: TCP/80, TCP/443, UDP/5678...
Responder1
Você pode instalar e ativar o auditd. Adicione essas regras na configuração de auditoria:
-a always,exit -F arch=b64 -S connect -F key=CONNECT
-a always,exit -F arch=b64 -S bind -F key=BIND
-a always,exit -F arch=b64 -S socket -F key=SOCKET
-a always,exit -F arch=b64 -S listen -F key=LISTEN
-a always,exit -F arch=b64 -S shutdown -F key=SHUTDOWN
-a always,exit -F arch=b64 -S close -F key=CLOSE
e você terá nos logs de auditoria os quais poderá monitorar chamadas de sistema relacionadas ao soquete.
Se você deseja encontrar agora informações antigas (e não tem audit), não acho que encontrará informações relevantes no Linux.
Responder2
Uma alternativa ao rastreamento na pilha de rede dos hosts é rastrear o tráfego na rede.
Faça uma captura de pacotes das interfaces em questão. Nesse host ou em algum lugar no caminho.
Existem várias ferramentas para analisar isso, definitivamente informações de TCP e UDP e possivelmente alguns insights sobre aplicativos. O Wireshark é gratuito, mas está longe de ser a única ferramenta de análise de pacotes.