Monitorar o tráfego TCP na porta específica

Eu procurei bastante isso, mas não consigo encontrar um exemplo de trabalho.

Meu objetivo é monitorar o tráfego TCP em uma porta específica para ver as conexões recebidas e gravá-las em um arquivo de texto. O problema é que também preciso de um registro de data e hora em cada linha para mostrar exatamente quando o cliente se conectou à segunda.

Já exaurei o netstat, o nmap e o tcptrack, mas nenhum deles suporta o carimbo de data e hora.

Eu estava pensando que um script de shell linux poderia funcionar se eu monitorasse uma porta local específica e escrevesse texto em um arquivo quando uma conexão fosse estabelecida, concatenando a data em cada linha.

Eu estava brincando com isso:

netstat -ano|grep 443|grep ESTABLISHED

assim como isso:

tcptrack -i eth0 port 443

mas também não atendem às minhas necessidades, pois preciso do horário em que a conexão chega.

Se você tiver alguma sugestão ou me indicar a direção certa, seria muito apreciada.

Obrigado. :)

edit : Eu ainda estou recebendo votos por isso anos depois. Por favor, não escolha esta resposta, a resposta que usamosiptables aqui é muito superior em minha opinião.

tcpdump port 443 and '(tcp-syn|tcp-ack)!=0'

ou apenas tcp-syn, ou apenas tcp-ack(meu palpite seria esse), dependendo do que você precisa.

Você pode usar o suporte ao iptables no kernel do Linux para isso. A vantagem é que ele não requer nenhum software extra para ser moderadamente útil. A desvantagem é que ele requer privilégios de root para configurar (mas, como você está falando da porta 443, que é uma porta privilegiada, provavelmente precisará de privilégios de root na maioria das soluções).

Adicione uma regra do iptables com algo como:

sudo iptables -I INPUT -p tcp --dport 443 --syn -j LOG --log-prefix "HTTPS SYN: "

(Ajuste a -I INPUTpeça de acordo com o seu gosto.)

Quando a regra é acionada, uma entrada syslog será emitida pelo kernel. Por exemplo, com uma regra de entrada, a entrada do log pode se parecer com:

5 de dezembro 09:10:56 nome do host do kernel: [1023963.185332] HTTPS SYN: IN = ifX OUT = MAC = 80: 80: 80: 80: 80: 80: 80: 80: 80: 80: 80: 80: 80: 08: 00 SRC = ABCD DST = WXYZ LEN = 52 TOS = 0x00 PREC = 0x20 TTL = 119 ID = 11901 DF PROTO = TCP SPT = 37287 DPT = 443 JANELA = 8192 RES = 0x00 SYN URGP = 0

Você pode usar qualquer ferramenta de monitoramento de logs comum para fazer algo útil com essas informações. Se a sua implementação do syslog suportar, você pode direcioná-los para um arquivo de log separado, cumprindo efetivamente o requisito de gravar os dados da conexão em um arquivo com carimbo de data e hora no segundo sem nenhum software adicional.

Observe que o LOGdestino é um destino sem término, o que significa que qualquer regra a seguir ainda será avaliada e o pacote não será rejeitado ou aceito pela própria regra LOG. Isso torna o LOGdestino útil também para depurar regras de firewall.

Para evitar inundar seu log, considere usar o limitmódulo em conjunto com isso. Veja a página de manual do iptables (8) para detalhes.

Resolução em microssegundos

Por padrão, o utilitário tcpdump relatará tempo com resolução de microssegundos. Por exemplo:

$ sudo tcpdump -i any port 443

mostrará uma saída semelhante à seguinte:

12: 08: 14.028945 IP localhost.33255> localhost.https: Flags [S], seq 1828376761, win 43690, opções [mss 65495, sackOK, TS val 108010971 ecr 0, nop, wscale 7], comprimento 0
12:08: 14.028959 IP localhost.https> localhost.33255: Flags [R.], seq 0, ack 1828376762, vitória 0, comprimento 0

Veja tcpdump (8) para obter uma lista completa das opções tcpdump e pcap-filter (7) para obter a sintaxe completa dos filtros que você pode usar.

443 é tráfego criptografado - tão difícil de fazer cara ou coroa de tráfego nesta porta de qualquer maneira:

você pode fazer

yum install ngrep ou apt-get install ngrep

então corra

ngrep -W byline -d any port 443 -q

Você também pode exigir isso para monitorar os pacotes de entrada e saída de outras máquinas.

tcpflow -i eth0 -c port 7891

(opção -ipara mencionar a rede, opção -cpara imprimir os pacotes no console)

Você pode usar o tcpdump ou o Wireshark.

Se você precisar de uma solução permanente que sempre monitore o tráfego nas portas de interesse, sugiro usar QoS (o comando tc no linux). O tc é um pouco enigmático e não documentado, então eu uso o FireQoS para configurar QoS e netdata para monitorá-lo em tempo real.

Verifique isso para obter mais informações: https://github.com/firehol/netdata/wiki/You-should-install-QoS-on-all-your-servers