Laufenden Netzwerkverkehr auf Debian überwachen
Um die Anzahl der Netzwerkverbindungen zu bestimmten IP-Adressen anzuzeigen können wir auch das SSH-Terminal nutzen. Der nachfolgende Code fragt jede Sekunde die Anzahl der hergestellten Verbindungen ab und zeigt uns diese an.
while true; do netstat -ant | egrep ':.*ESTABLISHED' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c; sleep 1; doneNatürlich lässt sich das auch weiter beschränken, z. B. auf die Ports 80 und 443 um nur Traffic für http und https anzuzeigen:
while true; do netstat -ant | egrep '(:80|:443) .*:.*ESTABLISHED' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c; sleep 1; doneNetstat kann nur TCP- und-UDP Traffic anzeigen. ICMP-Traffic wird durch netstat nicht angezeigt.
Um den ganzen Spaß zu loggen und dabei IPs auszuschließen können wir
while true; do netstat -ant | egrep ':.*ESTABLISHED' | grep -v -e '127.0.0.1' -e '127.0.0.2' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c >> /root/ip.log; sleep 1; doneverwenden.
Um den HTTP-Traffic live zu überwachen eignet sich z. B.
sudo tcpdump -i eth0 -s 0 -A 'tcp dst port 80 or tcp dst port 443 and not host 1.1.1.1'