Vraag Hoe binnenkomende IP's in Linux te zien?


Ik vraag me af wat het commando / hulpprogramma is om een ​​real-time weergave te hebben van binnenkomende IP's naar mijn server, idealiter samen met de poort en verbonden.


16
2017-07-07 11:01


oorsprong




antwoorden:


Gebruik pktstat -n

interface: eth0
bps

   bps    % desc
 162.3   0% arp
 286.5   0% llc 802.1d -> 802.1d
 544.3   1% tcp 172.16.1.5:22 <-> 172.16.1.95:8074
 34.0k  87% udp 172.16.1.1:514 <-> 172.16.1.5:514
 350.1   0% udp 172.16.1.5:24330 <-> 209.18.47.62:53
 329.4   0% udp 172.16.1.5:34870 <-> 209.18.47.62:53
 388.3   0% udp 172.16.1.5:4470 <-> 209.18.47.62:53
 407.4   1% udp 172.16.1.5:47008 <-> 209.18.47.62:53
 741.6   1% udp 172.16.1.5:53 <-> 172.16.1.74:43289
 663.6   1% udp 172.16.1.5:53 <-> 172.16.1.74:44589
 647.7   1% udp 172.16.1.5:53 <-> 172.16.1.74:58223
 128.9   0% udp 172.16.1.74:5353 <-> 224.0.0.251:5353
 160.7   0% udp6 fe80::21c:bfff:fecf:a798,5353 <-> ff02::fb,5353

De pktstat-broncode wordt gehost op de site van Debian, of je kunt het van krijgen SourceArchive.com


23
2017-07-07 12:24



Verbazingwekkend. Precies wat ik zocht. Het ligt voor de hand, maar om het antwoord in te vullen, zou je willen toevoegen dat het eenvoudig kan worden geïnstalleerd door 'apt-get install pkstat'. - alfish
Ook als je krijgt pktstat: pcap_lookupdev: no suitable device found wanneer u dit uitvoert, moet u mogelijk root zijn. - Tim Malone


Voor het weergeven van 'purdy' sta ik gedeeltelijk achter een tool genaamd 'iptraf' die precies zal doen wat u noemt, evenals per interface en per poortaggregaten.

Voor kern Linux-tools, zal trusty netstat de truc doen ...


10
2017-07-07 12:35



IPtraf is de beste tool die ik heb gezien in termen van bruikbaarheid en functionaliteit - natuurlijk kun je nog steeds wat dingen scripten met standaard tools zoals netstat en ngrep en tcpdump, maar waarom zou je het wiel opnieuw willen uitvinden :) - gyre
Voor de volledigheid is iftop vergelijkbaar met iptraf - een op ncurses gebaseerde app die gebruik maakt van staafdiagrammen in plaats van alleen getallen - om het bandbreedtegebruik per IP-adres weer te geven. Met de optie -P kunt u deze ook per poort verkrijgen. - gsreynolds


EEN tcpdump zou je dat laten zien; als u alleen een lijst met IP's wilde, kon u filteren op SYN-pakketten en alleen het bron-IP-adres uitvoeren. Zoiets als:

tcpdump -i eth0 -n 'tcp[tcpflags] & tcp-syn != 0 and not src and dst net localnet' | sed 's/^.*IP \([^ ]*) >.*$/\1/'

Ik zou u de lijst met IP's in realtime willen bezorgen. Je zou ook kunnen tee dat naar een bestand, en periodiek een sort -u erop om een ​​lijst met unieke IP-adressen te krijgen die verbindingen op uw manier hebben verzonden.


7
2017-07-07 11:19





Hier ziet u hoe al het verkeer naar poort 2222 komt:

tcpdump -ni any port 2222

1
2018-02-04 22:53





Zodra u de uitvoer van een van de opdrachten die in andere antwoorden worden vermeld, krijgt, kunt u de "watch" -tool gebruiken om "real-time" te hebben. "Watch -n 5 ps" zal bijvoorbeeld elke 5 seconden het commando "ps" uitvoeren ("-n" -argument). Vervang "ps" door de commando of interest en je krijgt "monitoring". Of, gewoon "tee" in een bestand, zoals in een andere suggestie.


0
2017-07-07 18:46