![新しいスニファーの作成[閉じる]](https://linux33.com/image/51015/%E6%96%B0%E3%81%97%E3%81%84%E3%82%B9%E3%83%8B%E3%83%95%E3%82%A1%E3%83%BC%E3%81%AE%E4%BD%9C%E6%88%90%5B%E9%96%89%E3%81%98%E3%82%8B%5D.png)
新しい接続、新しいポート、接続されたホストで何が起こっているのかを監視するためにLinuxカーネルをどのように使用しますか?まるで私が新しいスニファーを作ろうとしているようです。何が起こっているのかを確認するには、どのファイルを監視する必要がありますか?
たとえば、サーバーにSSH接続がなく、新しいホストがポート22を使用して接続されている場合は、この新しい接続について警告を受けたいと思います。ホストの接続が失われると、他の警告が実行されます。
答え1
やや曖昧ですが…Netstatは、ローカルコンピュータで現在開いている接続状態を示しています。 /proc/netには、巧妙な「リアルタイム」タスクを実行する機能があるか、tcpdumpなどのプログラムを介してrawパケットログ(より具体的な内容に興味がある場合はフィルタを作成できます)とパケットログ分析のためのWireshark同じツールがあります。あなたの目標が/正確に/何であるかは、より良いアドバイスを提供するのに役立ちます。
答え2
接続のIPとネットワークトラフィックを生成する接続をすぐに確認しようとしますiptraf。
会計、チャート作成、リモートモニタリングなど、より多くの機能が必要な場合はお試しください ntop。 Ntopデーモンとして実行され、localhost:3000でブラウザを介して監視および管理されます。