So überwachen Sie die Netzwerkaktivität auf einem Linux -System
- 2148
- 306
- Ilja Köpernick
Es gibt viele Gründe, warum Sie die Netzwerkaktivität in Ihrem Linux -System möglicherweise überwachen möchten. Möglicherweise beheben Sie bei einem Netzwerkproblem. Möglicherweise möchten Sie sicherstellen. Was auch immer der Grund sein mag, hier sind einige Methoden, um festzustellen, welche Prozesse in Ihrem System in Netzwerkaktivitäten beteiligt sind und mit wem sie kommunizieren.
In diesem Tutorial lernen Sie:
- So überwachen Sie Netzwerkverbindungen und Hördienste mit Netstat
- So überwachen Sie Netzwerkverbindungen und Hördienste mit LSOF
- Überwachung von Netzwerkverbindungen und Hördiensten mit IFConfig
- Mit welchen Tools können Sie die Daten über das Netzwerk untersuchen
So überwachen Sie die Netzwerkaktivität auf einem Linux -System Softwareanforderungen und Konventionen verwendet
| Kategorie | Anforderungen, Konventionen oder Softwareversion verwendet |
|---|---|
| System | Verteilungsunabhängige |
| Software | Netstat, LSOF, Ifconfig, Wireshark, TCPDump |
| Andere | Privilegierter Zugriff auf Ihr Linux -System als Root oder über die sudo Befehl. |
| Konventionen | # - Erfordert, dass die angegebenen Linux -Befehle mit Root -Berechtigungen entweder direkt als Stammbenutzer oder mithilfe von verwendet werden können sudo Befehl$ - Erfordert, dass gegebene Linux -Befehle als regelmäßiger nicht privilegierter Benutzer ausgeführt werden müssen |
Netstat
Netstat ist ein leistungsstarkes Dienstprogramm, das Netzwerkverbindungen, Routing -Tabellen, Schnittstellenstatistiken, Maskerade -Verbindungen und Multicast -Mitgliedschaften drucken kann. Wir werden es verwenden, um das erstere zu erreichen.
Netstat installieren
In Debian- und Debian -basierten Systemen wie Ubuntu verwenden Sie APT.
# APT-NET-Tools installieren
Verwenden Sie auf Red Hat Enterprise Linux und Red Hat -basierte Systeme Yum,
# yum net-tools installieren
Verwenden Sie auf Arch -basierten Systemen Pacman.
# Pacman -S Net -Tools
NOTIZ
In den folgenden Beispielen verwenden wir eine frische Installation von RHEL 8, die in VirtualBox ausgeführt wird, wobei die Ergänzungen der Gäste installiert sind
Hörprozesse anzeigen
Sehen wir uns zunächst die Prozesse an, die nach Verbindungen hören. Um dies zu tun, geben Sie also den folgenden Befehl ein.
$ sudo netstat -tulpen
In diesem Befehl T Anzeigen TCP Verbindungen, u Zeigt UDP -Verbindungen an, l Zeigt nur Hörhöhlen, P zeigt das Programm, zu dem die Verbindung gehört,e zeigt erweiterte Informationen und N Repräsentiert Adressen, Benutzer und Ports numerisch.
Netstat -Tulpen -Ausgang Bei der Betrachtung des Client -Server -Modells, auf dem die meisten Netzwerksoftware basiert, können Hörprozesse als Software betrachtet werden, die sich im „Server“ -Modus befindet. Angesichts unseres Setups ist die Ausgabe nicht überraschend. Dies sind alle Prozesse, die Sie erwarten würden, nach Netzwerkverbindungen auf einer neuen Installation von RHEL 8 zu hören Virtualbox.
Für jeden Hörprozess sehen Sie, dass das verwendete Protokoll, die lokale Adresse und den Port, das es hört, den Benutzer, unter dem es ausgeführt wird. Es gibt hier eine wichtige Unterscheidung zu beachten. Für TCP4/UDP4 Verbindungen (einfach als aufgeführt als TCP Und UDP) bei dem die Lokale Adresse ist als aufgelistet als 0.0.0.0 Der Vorgang hört nach Verbindungen von jedem Computer, der über das Netzwerk eine Verbindung zum ihm herstellen kann, während er als aufgeführt ist 127.0.0.1 Es hört nur nach Verbindungen auf dem Localhost (der Maschine, auf der es ausgeführt wird oder sich selbst) und kann nicht von anderen Computern im Netzwerk verbunden werden. Die gleiche Unterscheidung gilt für TCP6/UDP6 Beim Vergleich a Lokale Adresse von ::(Netzwerk gegenüberstand) und :: 1(nur Lokalhost).
Alle Netzwerkverbindungen anzeigen
Schauen wir uns nun alle aktuellen Netzwerkverbindungen an. Geben Sie dazu den folgenden Befehl ein, der dem vorherigen ähnelt, außer dass wir verwenden -A alle Steckdosen anstelle von anzusehen -l Nur Hörstecke anzeigen.
$ sudo netstat -atupen
Dieser Befehl zeigt uns nicht nur, welche Software wir auf Verbindungen als „Server“ anhören, sondern zeigt uns auch derzeit festgelegte Verbindungen zu dieser Software und alle etablierten Netzwerkverbindungen, die Software als „Client“ wie einen Webbrowser verwenden.
Netstat -atupen -Ausgabe Im Screenshot bemerken Sie 2 Verbindungen in der GEGRÜNDET Zustand. Wieder gibt es hier keine Überraschungen. Einer von ihnen gehört zu NetworkManager und arbeitet als DHCP -Client, um das Netzwerk vom Gateway -Server zu ermöglichen (in diesem Fall der Host -Computer). Das andere ist eine SSH -Verbindung zu dem Computer, den wir nach der Port -Weiterleitung des SSH -Dienstes mit VirtualBox hergestellt haben. Hätte wir hier etwas Unerwartetes gesehen, dann kann es zu weiteren Untersuchungen sein.
Ansicht etablierte Verbindungen
Möglicherweise befinden Sie sich in einer Situation, in der Sie die nur sehen möchten GEGRÜNDET Verbindungen. Dies ist so einfach wie die Ausgabe von Netstat zu Grep wie so.
$ sudo netstat -atupen | Grep etabliert
sudo netstat -atupen | Grep etablierte Ausgabe Wir haben den obigen Befehl eingegeben, nachdem wir nach Wikipedia navigiert haben.com in Firefox und der Screenshot erfassen die von Firefox festgelegten Verbindungen, die beim Erreichen des Standorts hergestellt wurden. Wie Sie sehen, gibt es vier Server, mit denen Firefox verbunden ist; 91.198.174.192, 172.217.23.100, 216.58.215.67, Und 104.111.215.142.
Um zu sehen, wem diese Server angehören, können wir die IP -Adressen mit Whois mögen, wie es so.
$ whois 91.198.174.192 | weniger
Dies für jeden von ihnen zeigt, dass sie zu Wikimedia, Google, Google und Akamai gehören.
Dies ist sinnvoll, wenn man bedenkt, dass Wikimedia Wikipedia besitzt und moderiert, und es ist sehr häufig, dass Websites Ressourcen laden, die auf Servern von Google und Akamai gehostet werden. In der Tat zeigt die Untersuchung des Quellcodes der Wikipedia-Homepage, dass das Google Play Store App-Badge von Google geladen wird.Com und die Apple AppStore App-Badge von Apple.com.
Das Navigieren in die URLs für diese 2 App -Abzeichen einzeln und die Ausgabe des obigen Netstat -Befehls überprüft tatsächlich, dass sie auf Servern gehostet werden.
Wenn dies Ihr Interesse an geweckt hat Netstat Dann haben wir einen Artikel, den Sie lesen können, um mehr über die Verwendung des Netstat -Befehls zu erfahren
ss
Der Netstat Das Kommando ist seit langem ein Favorit von Sysadmins, es wurde jedoch kürzlich durch die ersetzt ss Befehl, das sich darauf auszeichnet, schneller, einfacher und menschlicher lesbar zu sein als Netstat. Lassen Sie uns sehen, wie die gleichen Aktionen wie oben ausgeführt werden können ss. Ss hat auch a -e Option zum Anzeigen erweiterter Informationen, diese Option wurde jedoch in den folgenden Beispielen weggelassen, da zusätzliche Informationen erstellt werden, die zu einer geringeren lesbaren Ausgabe führen können.
Hörprozesse anzeigen
Um alle Hörprozesse anzuzeigen.
$ sudo ss -tlunp
In diesem Befehl T Anzeigen TCP Verbindungen, l Zeigt nur Hörhöhlen, u Zeigt UDP -Verbindungen an, N repräsentiert Adressen, Benutzer und Ports numerisch und P zeigt das Programm, zu dem die Verbindung gehört.
Alle Netzwerkverbindungen anzeigen
Um alle Netzwerkverbindungen anzuzeigen, geben Sie Folgendes ein, wo A ersetzt l und zeigt alle Netzwerkhöhlen nicht nur zuzuhören.
$ sudo ss -taunp
Ansicht etablierte Verbindungen
Wenn -A oder -l sind dann nicht enthalten ss wird nur etablierte Verbindungen zeigen. Um nur festgelegte Verbindungen anzuzeigen.
$ sudo ss -tunp
LSOF
Nur für den Fall Netstat Und ss Es war nicht genug für dich, wir präsentieren uns LSOF. LSOF wird verwendet, um offene Dateien aufzulisten. GNU/Linux erbte das Unix -Designprinzip, dass alles eine Datei ist. Dies schließt Netzwerkverbindungen ein. Infolge, LSOF Kann verwendet werden, um die Netzwerkaktivität auf ähnliche Weise wie die oben genannten Befehle anzuzeigen.
Alle Netzwerkverbindungen anzeigen
Um alle Netzwerkverbindungen anzuzeigen, geben Sie Folgendes ein.
$ sudo lsof -np -i
In diesem Befehl N repräsentiert die Adressen numerisch, P repräsentiert die Ports numerisch und ich Unterdrückt die Auflistung von offenen Dateien, die nicht als Netzwerkdateien betrachtet werden.
Ansicht etablierte Verbindungen
Um nur festgelegte Verbindungen anzuzeigen TCP Verbindungen.
$ sudo lsof -np -itcp -stcp: etabliert
Hörprozesse anzeigen
Um Hörprozesse mit Verwendung anzuzeigen LSOF Gebe folgendes ein.
$ sudo lsof -np -itcp -stcp: Hören
Dies wird alle Prozesse verpassen, die über UDP zuhören.
$ sudo lsof -np -i | Grep 'Hören \ | udp'
Überwachung von Daten, die über das Netzwerk gesendet werden
Wir haben gesehen, wie Netstat, ss, Und Ifconfig Kann verwendet werden, um zu überwachen, welche Netzwerkverbindungen hergestellt werden und an wen, aber es ist oft wünschenswert zu sehen, welche Daten über das Netzwerk gesendet werden. Um dieses Ziel zu erreichen. Zwei auf diesen Bereich spezialisierte Programme sind tcpdump Und Wireshark.
Wir haben zuvor Leitfäden zur Installation von Wireshark auf RHEL 8, den Grundlagen des Netzwerkprotokollanalysators Wireshark unter Linux, Filterpakete in Wireshark unter Kali Linux und der Installation geschrieben, und die Netzwerküberwachung Der Abschnitt über Linux -System und Hardwareüberwachung effizient gemacht werden eine nette Einführung in tcpdump.
Abschluss
In diesem Artikel haben wir besprochen, wie Hörprozesse, etablierte Verbindungen und alle Netzwerkverbindungen mithilfe von Ansicht nach angezeigt werden können Netstat, ss, Und Ifconfig. Wir haben dann Tools vorgestellt.
Verwandte Linux -Tutorials:
- Dinge zu installieren auf Ubuntu 20.04
- Dinge zu tun nach der Installation Ubuntu 20.04 fokale Fossa Linux
- Eine Einführung in Linux -Automatisierung, Tools und Techniken
- Dinge zu tun nach der Installation Ubuntu 22.04 Jammy Quallen…
- Hung Linux System? Wie man zur Befehlszeile entkommt und…
- Dinge zu installieren auf Ubuntu 22.04
- Installieren Sie Arch Linux in VMware Workstation
- Wie man Kali Linux und Windows 10 Dual -Boot -Start hat
- Ubuntu 20.04 Leitfaden
- Linux -Download
- « So verwenden Sie Nginx, um den gesamten Datenverkehr von HTTP auf HTTPS umzuleiten
- Best Terminalspiele unter Linux »