Surowe wyjście z katalogu /proc
Najszybszym sposobem przejrzenia które połączenia są jak maskowane jest przejrzenie pliku /proc/net/ip_conntrack. Wadą takiego rozwiązania są dość "surowe" wyniki ale za to jest to najszybszy i najprostszy sposób sprawdzenia co się dzieje…
proxy:~# cat /proc/net/ip_conntrack | grep 10.0.0.42 tcp 6 431939 ESTABLISHED src=10.0.0.42 dst=205.188.9.48 sport=33262 dport=5190 src=205.188.9.48 dst=212.191.200.8 sport=5190 dport=33262 [ASSURED] use=1 tcp 6 432000 ESTABLISHED src=10.0.0.42 dst=212.191.200.8 sport=34654 dport=25 src=212.191.200.8 dst=10.0.0.42 sport=22 dport=34654 [ASSURED] use=1
conntrack-viewer.pl
Program conntrack-viewer.pl w znacznie przyjemniejszy sposób prezentuje informacje z katalogu /proc.
tcp 10.0.0.42:44034 212.191.200.90:22 ssh ESTABLISHED M tcp 10.0.0.42:56260 217.17.41.92:8074 [???] ESTABLISHED M tcp 10.0.0.42:56262 212.191.200.8:22 ssh ESTABLISHED tcp 10.0.0.42:56307 212.191.200.8:22 ssh ESTABLISHED tcp 10.0.0.42:56402 212.191.200.90:22 ssh ESTABLISHED M tcp 10.0.0.42:56491 212.191.200.10:110 pop3 TIME_WAIT M tcp 10.0.0.42:56492 212.191.200.13:80 www TIME_WAIT M tcp 10.0.0.42:56493 212.191.200.13:80 www TIME_WAIT M tcp 10.0.0.42:56494 212.191.200.13:80 www TIME_WAIT M tcp 10.0.0.42:56495 212.191.200.13:80 www TIME_WAIT M
netstat-nat
Program netstat-nat pozwala przejrzeć połączenia maskowane przez dany host w bardziej cywilizowany sposób. Jego zaletą jest również możliwość posegregowania połączeń w zależności od konkretnych potrzeb. Możemy np. wyświetlić połączenia tylko z protokołu udp, icmp czy tcp, czy posortować w określony sposób.
proxy:~# netstat-nat -n Proto NATed Address Foreign Address State tcp 10.0.0.42:33262 205.188.9.48:5190 ESTABLISHED tcp 10.0.0.42:32783 217.17.41.85:8074 ESTABLISHED
monitorNetStats.pl
SkryptmonitorNetStats.pl pozwala w wygodny sposób zobaczyć jak dużo danych przesyłanych jest przez dany interfejs sieciowy
/usr/local/sbin/monitorNetStats.pl --stdout 1292 - OS-INFO - monitorNetStats.pl - Period: 4 seconds Interface: eth0 Input Bytes: 3283888 Output Bytes: 61848 Transfer Rate: 816.83 KB/s 1292 - OS-INFO - monitorNetStats.pl - Period: 4 seconds Interface: eth1 Input Bytes: 61907 Output Bytes: 3278931 Transfer Rate: 815.63 KB/s 1292 - OS-INFO - monitorNetStats.pl - iptables is currently tracking 25 connections, 0.61 percent of it's capacity.
Narzędzie można pobrać ze strony http://caspian.dotconf.net/menu/Software/Monitoring/
Iptraf – Ile jest danych przesyłanych
Iptraf jest narzędziem do monitorowania w trybie interakcyjnym jakie i ile danych przepływa przez dany komputer. Stosując filtry albo statystyki możemy w łatwy sposób zobaczyć jakie dane i ile przechodzą przez serwer.
ipaudit
IPAudit to program przełączający kartę sieciową w tryb nasłuchu i zbierający dane o połączeniach. Gdy przerwiemy jego pracę wyświetla informacje o zebranych połączeniach.
Znaczenie poszczególnych kolumn
- Pierwsza i druga to adresy źródłowe i docelowe połączenia
- trzecia to protokół (1=icmp,6=tcp,17=udp,etc)
- czwarta i piąta to numery portów na komputerze źródłowym i docelowym
- szósta i siódma to bajty otrzymane przez komputer źródłowy i docelowy
- ósma i dziewiąta to pakiety otrzymane przez komputer źródłowy i docelowy
proxy:~# ipaudit eth0:eth1 010.000.000.042 212.191.200.008 6 34654 22 0 114 0 1 010.000.000.045 212.191.200.008 6 515 2111 201 66 1 1 010.000.000.045 212.191.200.009 17 515 514 2416 0 21 0 010.000.000.045 212.191.200.010 6 515 32768 5928 2310 35 35 010.000.000.050 010.000.000.255 17 138 138 0 243 0 1
W Internecie:
Strona domowa projektu: http://ipaudit.sourceforge.net/
Pakiet Debianowy: http://ipaudit.sourceforge.net/contrib/ipaudit_0.95-1_i386.deb
Sniffery
Jeżeli chcemy na bierząco kontrolować co jest przesyłane przez serwer proxy możemy użyć snifferów pracujących w trybie interaktywnym. Jednym z prostszych a zarazem bardziej skutecznych snifferów jest sniffit.