Cómo escuchar el tráfico del puerto en un servidor Linux


Todo administrador de pink necesita saber cómo escuchar el tráfico del puerto en un servidor. Aquí hay una forma de hacerlo en Linux.

«data-credit =» Imagen: AnuchaCheechang, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Cierre el cable UTP CAT6 con iluminación bokeh y conmutador de enrutador de red de alta velocidad en una sala de centro de datos de tecnología.

Imagen: AnuchaCheechang, Getty Visuals / iStockphoto

Por lo tanto, tiene un servidor Linux en funcionamiento, pero sospecha que podría estar entrando tráfico nefasto o simplemente desea saber qué sucede en todo momento con esta nueva máquina. ¿Qué haces?

Hay muchas herramientas para hacer el trabajo, algunas de las cuales han existido durante mucho tiempo. Sin embargo, algunos de esos comandos pueden ser increíblemente complejos o realmente no funcionan de la manera deseada.

Entonces, ¿qué debe hacer un administrador cuando solo quiere hacer el trabajo de manera fácil, rápida y confiable?

Hay una herramienta en particular que prefiero usar para este trabajo. Dicha herramienta es TShark, que es una línea de comando que toma el siempre well-liked Wireshark. Cuando trabajas con un servidor sin cabeza, una GUI no lo va a cortar. Ahí es donde entra en juego TShark.

Con el comando tshark puede escuchar el tráfico entrante, para monitorear sus puertos en un servidor Linux. En realidad es fácil de instalar y fácil de usar. Hagamos que eso suceda.

VER: Kit de contratación: Administrador de pink (TechRepublic Premium)

Lo que necesitarás

Estaré demostrando en Ubuntu Server 18.40, pero la herramienta se puede instalar desde los repositorios estándar de su distribución.

Cómo instalar TShark

La instalación de TShark es straightforward. Abra una ventana de terminal en su servidor y emita el comando:

sudo apt-get install tshark -y

Eso es todo lo que hay para la instalación.

Cómo encontrar su interfaz de red

Con TShark, su interfaz de red está asociada con un número. Si solo tiene una interfaz instalada, no debería preocuparse por esto. Sin embargo, si tiene varias interfaces o usa este servidor para contenedores, necesitará saber qué interfaz debe escuchar TShark.

Para hacer esto, emita el comando:

sudo tshark -D

Esta salida del comando enumerará todas sus interfaces disponibles (Figura A)

Figura A

tsharka.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/03/19/fe3e4582-d253-469a-b81c-0e4d1f94c01c/resize/770x/2f43c362ffont>bc2599d3b98acc937556/tsharka.jpg

Todas las interfaces, incluidos los contenedores, se enumeran.

Cómo escuchar con TShark

Ahora que tenemos nuestra lista de interfaces, ahora podemos ver el tráfico en tiempo real. Digamos que quiere escuchar solo en ens5, que es la interfaz principal en mi servidor. Para esto, emitirías el comando:

sudo tshark -i 6

Comenzará una secuencia de salida interminable, que enumera cada puerto para detectar cualquier tipo de tráfico (Figura B)

Figura B

tsharkb.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/03/19/47dbe0d3-4657-427c-b4c3-d37f2495ab3b/resize/770x/fe9965a9fb740fa15bbbc29f34a8efbb/tsharkb.jpg

El comando tshark está escuchando el tráfico entrante en todos los puertos.

Si es demasiado para asimilar, siempre puede indicarle a TShark que escuche puertos específicos. Digamos, por ejemplo, que sospecha que algo sospechoso está sucediendo con SSH (tal vez alguien está tratando de piratear su servidor a través del puerto 22). Para que TShark escuche solo ese puerto, emita el comando:

sudo tshark -i 6 -f "tcp port 22"

El comando anterior solo generará información asociada con el puerto 22 (Figura C)

Figura C

tsharkc.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/03/19/8eae6cd3-05cf-44ed-9c54-8752a83d38a2/resize/770x/926775cc8f861bf11b1d1093a117b876/tsharkc.jpg

Usando TShark para escuchar solo el tráfico SSH.

Aunque TShark tiene mucho más, eso es todo lo que necesita saber para seguir escuchando el tráfico del puerto en su servidor Linux. Para obtener más información sobre TShark, emita el comando hombre tshark.

Ver también



Enlace a la noticia authentic