Linux sunucusundaki bağlantı noktası trafiğini dinleme

Her ağ yöneticisinin bir sunucudaki bağlantı noktası trafiğini nasıl dinleyeceğini bilmesi gerekir. İşte bunu Linux'ta yapmanın bir yolu.

<a href = "https://tr2.cbsistatic.com/hub/i/r/2020/03/04/57a1dd4f-f909-4725-a7ff-fa92968a78de/resize/770x/80d5c1471e706dd7d30d01212c412d52/istock-1208690 hedef" = "_ boş" data-component = "modalEnlargeImage" data-headline = "

"data-credit =" Resim: AnuchaCheechang, Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">Teknoloji veri merkezi odasında aydınlatma bokeh ve yüksek hızlı ağ yönlendirici anahtarı ile UTP CAT6 kablosunu kapatın.

Resim: AnuchaCheechang, Getty Images / iStockphoto

Yani bir Linux sunucunuz çalışıyor ve çalışıyor, ya da bazı hain trafik gelebileceğinden şüpheleniyorsunuz ya da sadece bu yeni makine ile neler olup bittiğini bilmek istiyorsunuz. Ne yaparsın?

İşi yapmak için birçok araç var – bazıları çok uzun zamandır var. Ancak, bu komutlardan bazıları inanılmaz derecede karmaşık olabilir veya gerçekten istediğiniz şekilde çalışmaz.

Peki bir yönetici işi kolayca, hızlı ve güvenilir bir şekilde yapmak istediklerinde ne yapacak?

Bu iş için kullanmayı tercih ettiğim belirli bir araç var. Bahsedilen araç TShark, her zaman popüler olan bir komut satırı olan Wireshark. Başsız bir sunucuyla çalışırken, bir GUI bunu kesmez. TShark devreye giriyor.

Tshark komutuyla bir Linux sunucusundaki bağlantı noktalarınızı izlemek için gelen trafiği dinleyebilirsiniz. Aslında kurulumu ve kullanımı kolaydır. Hadi bunu gerçekleştirelim.

GÖRMEK: İşe alma kiti: Ağ yöneticisi (TechRepublic Premium)

Gerekenler

Ubuntu Server 18.40 üzerinde göstereceğim, ancak araç dağıtımınızın standart depolarından yüklenebilir.

TShark nasıl kurulur

TShark'ın kurulumu basittir. Sunucunuzda bir terminal penceresi açın ve şu komutu verin:

sudo apt-get install tshark -y

Kurulum için gereken tek şey bu.

Ağ arayüzünüzü bulma

TShark ile ağ arayüzünüz bir numara ile ilişkilendirilir. Yüklü yalnızca bir arabirim varsa, bunun için endişelenmenize gerek yoktur. Ancak, birden fazla arabiriminiz varsa veya bu sunucuyu kapsayıcılar için kullanıyorsanız, TShark'ın hangi arabirimi dinleyeceğini bilmeniz gerekir.

Bunu yapmak için şu komutu verin:

sudo tshark -D

Komutun bu çıkışı mevcut tüm arayüzlerinizi listeler (Şekil A).

Şekil A

<a href = "https://tr1.cbsistatic.com/hub/i/r/2020/03/19/fe3e4582-d253-469a-b81c-0e4d1f94c01c/resize/770x/2f43c362fbd8bc2599d3b98acc937556/tsharka" hedef " _blank "data-component =" modalEnlargeImage "data-headline ="

Kaplar dahil tüm arabirimler listelenir.

"data-credit =" http://www.techrepublic.com/ "rel =" noopener noreferrer nofollow ">tsharka.jpg "veri-orijinal =" https://tr1.cbsistatic.com/hub/i/r/2020/03/19/fe3e4582-d253-469a-b81c-0e4d1f94c01c/resize/770x/2f43c362fbd8bc2599d3b98acc9375/ts.kaj

Kaplar dahil tüm arabirimler listelenir.

TShark ile nasıl dinlenir

Artık arayüz listemize sahip olduğumuza göre, trafiği gerçek zamanlı olarak izleyebiliriz. Sadece sunucumdaki birincil arabirim olan ens5'i dinlemek istediğinizi varsayalım. Bunun için şu komutu verirsiniz:

sudo tshark -i 6

Hiç bitmeyen bir çıkış akışı başlar ve her tür trafiği algılamak için her bağlantı noktasını listeler (Şekil B).

Şekil B

<a href = "https://tr2.cbsistatic.com/hub/i/r/2020/03/19/47dbe0d3-4657-427c-b4c3-d37f2495ab3b/resize/770x/fe9965a9fb740fa15bbbc29f34a8efbb/tshark target" " _blank "data-component =" modalEnlargeImage "data-headline ="

Tshark komutu tüm bağlantı noktalarında gelen trafiği dinliyor.

"data-credit =" http://www.techrepublic.com/ "rel =" noopener noreferrer nofollow ">tsharkb.jpg "veri-orijinal =" https://tr2.cbsistatic.com/hub/i/r/2020/03/19/47dbe0d3-4657-427c-b4c3-d37f2495ab3b/resize/770x/fe9965a9fb740fa15bbbc29f34a8bbjjjj/jf

Tshark komutu tüm bağlantı noktalarında gelen trafiği dinliyor.

Alınacak çok fazla ise, TShark'a her zaman belirli portları dinlemesini söyleyebilirsiniz. Diyelim ki SSH ile balıkların sürdüğünden şüpheleniyorsunuz (belki birisi sunucunuzu bağlantı noktası 22 aracılığıyla hacklemeye çalışıyor). TShark'ı sadece bu bağlantı noktasını dinlemek için şu komutu verin:

sudo tshark -i 6 -f "tcp port 22"

Yukarıdaki komut yalnızca port 22 (Şekil C).

Şekil C

<a href = "https://tr2.cbsistatic.com/hub/i/r/2020/03/19/8eae6cd3-05cf-44ed-9c54-8752a83d38a2/resize/770x/926775cc8f861bf11b1d1093a117b876/tsharkc hedef" = " _blank "data-component =" modalEnlargeImage "data-headline ="

TShark'ı yalnızca SSH trafiğini dinlemek için kullanma.

"data-credit =" http://www.techrepublic.com/ "rel =" noopener noreferrer nofollow ">tsharkc.jpg "veri-orijinal =" https://tr2.cbsistatic.com/hub/i/r/2020/03/19/8eae6cd3-05cf-44ed-9c54-8752a83d38a2/resize/770x/926775cc8f861bf11b1d1093a117kcjj.j8.

TShark'ı yalnızca SSH trafiğini dinlemek için kullanma.

TShark'ta çok daha fazlası olmasına rağmen, Linux sunucunuzdaki bağlantı noktası trafiğini dinlemeye devam etmek için bilmeniz gereken tek şey bu. TShark hakkında daha fazla bilgi edinmek için şu komutu verin: adam tshark.

Ayrıca bakınız

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*