如何使用 Linux 核心來監控正在發生的事情,關於新連接、新連接埠、連接的主機?就像我要做一個新的嗅探器。我應該監視哪些文件以了解發生了什麼。
例如,如果伺服器沒有 ssh 連接,則使用連接埠 22 連接新主機,我希望對此新連接發出警報。如果主機斷開連接,則會執行另一個警報。
答案1
有點模糊,但是... Netstat 顯示本地計算機當前打開的連接的狀態, /proc/net 中有一些東西你可以做一些聰明的“實時”東西,或者有像 tcpdump 這樣的程序可以給你原始數據包日誌(如果您對更具體的事情感興趣,可以建立一個過濾器),以及用於資料包日誌分析的wireshark等工具。您的目標/確切/是什麼,可能有助於提供更好的建議。
答案2
如果只是為了即時查看連接的 IP 以及哪個連接正在產生網路流量,您可以嘗試iptraf。
如果您想要更多功能,例如會計、圖表和遠端監控,您可以嘗試 ntop。 Ntop作為守護程式運行,透過瀏覽器在 localhost:3000 進行監視和管理。