Monitorowanie połączeń maskarady

Surowe wyjście z katalogu /proc

Najszybszym sposobem przejrzenia które połączenia są jak maskowane jest przejrzenie pliku /proc/net/ip_conntrack. Wadą takiego rozwiązania są dość "surowe" wyniki ale za to jest to najszybszy i najprostszy sposób sprawdzenia co się dzieje…

proxy:~# cat /proc/net/ip_conntrack | grep 10.0.0.42
tcp      6 431939 ESTABLISHED src=10.0.0.42 dst=205.188.9.48 sport=33262
	 dport=5190 src=205.188.9.48 dst=212.191.200.8 sport=5190 dport=33262 [ASSURED] use=1
tcp      6 432000 ESTABLISHED src=10.0.0.42 dst=212.191.200.8 sport=34654
	 dport=25 src=212.191.200.8 dst=10.0.0.42 sport=22 dport=34654 [ASSURED] use=1

conntrack-viewer.pl

Program conntrack-viewer.pl w znacznie przyjemniejszy sposób prezentuje informacje z katalogu /proc.

tcp     10.0.0.42:44034          212.191.200.90:22        ssh         ESTABLISHED   M
tcp     10.0.0.42:56260          217.17.41.92:8074        [???]       ESTABLISHED   M
tcp     10.0.0.42:56262          212.191.200.8:22         ssh         ESTABLISHED
tcp     10.0.0.42:56307          212.191.200.8:22         ssh         ESTABLISHED
tcp     10.0.0.42:56402          212.191.200.90:22        ssh         ESTABLISHED   M
tcp     10.0.0.42:56491          212.191.200.10:110       pop3        TIME_WAIT     M
tcp     10.0.0.42:56492          212.191.200.13:80        www         TIME_WAIT     M
tcp     10.0.0.42:56493          212.191.200.13:80        www         TIME_WAIT     M
tcp     10.0.0.42:56494          212.191.200.13:80        www         TIME_WAIT     M
tcp     10.0.0.42:56495          212.191.200.13:80        www         TIME_WAIT     M

netstat-nat

Program netstat-nat pozwala przejrzeć połączenia maskowane przez dany host w bardziej cywilizowany sposób. Jego zaletą jest również możliwość posegregowania połączeń w zależności od konkretnych potrzeb. Możemy np. wyświetlić połączenia tylko z protokołu udp, icmp czy tcp, czy posortować w określony sposób.

proxy:~# netstat-nat -n
Proto NATed Address                  Foreign Address                State
tcp   10.0.0.42:33262                205.188.9.48:5190              ESTABLISHED
tcp   10.0.0.42:32783                217.17.41.85:8074              ESTABLISHED

monitorNetStats.pl

SkryptmonitorNetStats.pl pozwala w wygodny sposób zobaczyć jak dużo danych przesyłanych jest przez dany interfejs sieciowy

/usr/local/sbin/monitorNetStats.pl --stdout
1292 - OS-INFO - monitorNetStats.pl - Period: 4 seconds
	 Interface: eth0  Input Bytes: 3283888  Output Bytes: 61848  Transfer Rate: 816.83 KB/s
1292 - OS-INFO - monitorNetStats.pl - Period: 4 seconds
	Interface: eth1  Input Bytes: 61907  Output Bytes: 3278931  Transfer Rate: 815.63 KB/s
1292 - OS-INFO - monitorNetStats.pl - iptables is currently tracking 25 connections,
	0.61 percent of it's capacity.

Narzędzie można pobrać ze strony http://caspian.dotconf.net/menu/Software/Monitoring/

Iptraf – Ile jest danych przesyłanych

Iptraf jest narzędziem do monitorowania w trybie interakcyjnym jakie i ile danych przepływa przez dany komputer. Stosując filtry albo statystyki możemy w łatwy sposób zobaczyć jakie dane i ile przechodzą przez serwer.

ipaudit

IPAudit to program przełączający kartę sieciową w tryb nasłuchu i zbierający dane o połączeniach. Gdy przerwiemy jego pracę wyświetla informacje o zebranych połączeniach.

Znaczenie poszczególnych kolumn

  1. Pierwsza i druga to adresy źródłowe i docelowe połączenia
  2. trzecia to protokół (1=icmp,6=tcp,17=udp,etc)
  3. czwarta i piąta to numery portów na komputerze źródłowym i docelowym
  4. szósta i siódma to bajty otrzymane przez komputer źródłowy i docelowy
  5. ósma i dziewiąta to pakiety otrzymane przez komputer źródłowy i docelowy

 

proxy:~# ipaudit eth0:eth1
010.000.000.042 212.191.200.008 6 34654 22  0 114 0 1
010.000.000.045 212.191.200.008 6 515 2111  201 66 1 1
010.000.000.045 212.191.200.009 17 515 514  2416 0 21 0
010.000.000.045 212.191.200.010 6 515 32768  5928 2310 35 35
010.000.000.050 010.000.000.255 17 138 138  0 243 0 1

W Internecie:
Strona domowa projektu: http://ipaudit.sourceforge.net/
Pakiet Debianowy: http://ipaudit.sourceforge.net/contrib/ipaudit_0.95-1_i386.deb

Sniffery

Jeżeli chcemy na bierząco kontrolować co jest przesyłane przez serwer proxy możemy użyć snifferów pracujących w trybie interaktywnym. Jednym z prostszych a zarazem bardziej skutecznych snifferów jest sniffit.

Dodaj komentarz