Как можно использовать ядро Linux для наблюдения за тем, что происходит, за новыми соединениями, новыми портами, подключенными хостами? Например, я сделаю новый сниффер. Какие файлы мне нужно отслеживать, чтобы знать, что происходит.
Например, если на сервере нет подключений ssh, а затем новый хост подключается с использованием порта 22, я хочу иметь оповещение для этого нового подключения. Если хост отключен, будет запущено другое оповещение.
решение1
Немного расплывчато, но... Netstat показывает статус текущих открытых соединений для локальной машины, есть вещи в /proc/net, с которыми вы можете делать что-то умное в режиме реального времени, или есть программы вроде tcpdump, которые выдадут вам сырые журналы пакетов (вы можете создать фильтр, если вас интересуют более конкретные вещи), а также инструменты вроде wireshark для анализа журнала пакетов. Какова /точно/ ваша цель, это может помочь лучше проконсультировать.
решение2
Если вам просто нужно мгновенно увидеть, какие IP-адреса подключены и какое соединение генерирует сетевой трафик, вы можете попробовать iptraf.
Если вам нужны дополнительные функции, такие как учет, графики и удаленный мониторинг, вы можете попробовать ntop. Ntopработает как демон, мониторинг и администрирование осуществляются с помощью браузера по адресу localhost:3000.