vendredi 11 août 2017

#Surveiller les #connexions en cours sur un #serveur #Linux

www.systemstatus.fr


Ecoute des ports :


echo "Open Ports:" ; netstat -anp | grep LISTEN | grep tcp | awk '{print $4, "t", $7}' | more
Quelques notions de réseau

Analyse du traffic réseau sur Ubuntu

TCPTRACK /Ubuntu

jonathan-experton.com/tag/tcptrack/
apt-get install tcptrack


Une fois installé, pour un plus grand confort d'utilisation, faites un raccourci avec par exemple :
echo "tcptrack -i eth0" > /usr/bin/tt
chmod +x /usr/bin/tt
Vous pourrez ensuite lancer tcptrack en tapant simplement la commande :
tt

Si vous ne voulez pas du raccourci, la commande à lancer est donc :
tcptrack -i eth0
(pour surveiller l'interface eth0)

-h pour l'aide
-i interface pour préciser l'interface réseau à surveiler (cette option est obligatoire)
-d pour se limiter aux connections nouvellement établies et donc pas aux connections en cours
-v permet d'optenir la version installée.
-f pour obtenir une vitesse moyenne de connection

iftop/Ubuntu

sudo apt-get install iftop
sudo iftop -i wlan0
Afficher les adresses
iftop -n 
Afficher les portsiftop -p

-h                  Afficher l’aide
-n                  Ne pas résoudre les noms d’hôtes
-N                  ne pas afficher le nom des ports listés dans le fichier /etc/services
-p                  Lancer le mode promiscuous (Voir le trafic entre deux hôte appartenant au même réseau)
-b                  Ne pas afficher  la bar graphique du trafic
-B                  Afficher la bande passante en octet
-i interface        écouter le trafic sur une interface donnée
-f filter code      filtrer le trafic à écouter
-F net/mask         filtrer le traffic à un réseau IPV4 donné
-G net6/mask6       filtrer le traffic à un réseau IPV6 donné
-l                  display and count link-local IPv6 traffic (default: off)
-P                  Voir les ports utilisés
-c config file      spécifier un fichier de configuration
---
Host display:                          General:
n – toggle DNS host resolution         P – pause display
s – toggle show source host            h – toggle this help display
d – toggle show destination host       b – toggle bar graph display
t – cycle line display mode            B – cycle bar graph average
                                        T – toggle cumulative line totals
Port display:                           j/k – scroll display
N – toggle service resolution          f – edit filter code
S – toggle show source port            l – set screen filter
D – toggle show destination port       L – lin/log scales
p – toggle port display                ! – shell command
                                        q – quit
Sorting:
1/2/3 – sort by 1st/2nd/3rd column
< – sort by source name
> – sort by dest name
o – freeze current order


jnettop

jNettop capture le trafic réseau et l'affiche par utilisation de la bande passante. Le résultat est une liste des communications réseau par hôtes et ports avec le nombre d'octets transmis par le transport et la bande passante consommée.
jnettop-notre-outil-de-traffic-reseau
linux.die.net/man/8/jnettop

jpcap


inmf.sourceforge.net/files/PresentationFR.pdf

Memo_linux_net_cmd.2c

Netstat

La commande netstat permet d'afficher les statistiques sur les interfaces réseau actives. C'est utile pour voir les paquets perdus, les engorgements.
Netstat-lister-ports-ouverts-linux
www.delafond.org/traducmanfr/man/man8/netstat.8.html
  • Netsat: affiche uniquement les connexions actives
  • Netstat -a: affiche les ports actifs et inactifs.
  • Netstat -n: affiche les numéros de ports de départ et l'adresse IP de destination (plus le site Internet) et le port de destination (voire NAT - PAT)
  • Netstat -p [protocole], protocole peux prendre la valeur TCP ou UDP, uniquement les ports dans le protocole indiqué
  • Netstat -r affiche la table table interne de routage (voire également Table ARP)
  • Netstat -e et -s: - e affiche des statistiques sur les cartes ethernet: octets reçus et émis, erreurs, ... -s est un peu plus complet et dissocie les deux protocoles et les deux types d'adressage IP (IPv4 et v6)

OSSIM


Composé des technologies suivantes :
- Arpwatch, pour détecter les anomalies d’adresse MAC
- P0f, utilisé pour la détection passive des OS l’analyse des changement d’OS.
- Pads, utilisé pour les anomalies de services
- Nessus, détection de vulnérabilité


- Snort, the IDS, also used for cross correlation with nessus.
- Spade, service de détection statistique d’anomalie de paquet. utilisé pour obtenir des informations à propos des attaques sans signature.
- Tcptrack, utilisé pour la prise d’informations sur les sessions, utile pour la détection et prévention d’attaques.
- Ntop,
- Nagios. Supervision
- Osiris, a great HIDS.
- OCS-NG, Solution d’inventaire
- OSSEC, Outil de vérification d’intégrité, détection de rootkit, détection de registre.
Publié par à

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)

Archives du blog