Di Ubuntu, bagaimana saya bisa memeriksa informasi apa yang sedang dikirim melalui koneksi jaringan, program apa yang melakukannya, dan situs apa yang terhubung dengan komputer saya?
Saya tidak paranoid tentang keamanan, tetapi siapa yang tahu?
Saya akan merekomendasikan iptraf atau
iftop jika Anda tidak membutuhkan banyak fungsionalitas. Dari iptrafberanda:
IPTraf adalah utilitas statistik jaringan berbasis konsol untuk Linux. Ini mengumpulkan berbagai angka seperti paket koneksi TCP dan jumlah byte, statistik antarmuka dan indikator aktivitas, gangguan lalu lintas TCP / UDP, dan paket stasiun LAN dan jumlah byte. fitur
- Monitor lalu lintas IP yang menampilkan informasi tentang lalu lintas IP yang melewati jaringan Anda. Termasuk informasi flag TCP, jumlah paket dan byte, detail ICMP, tipe paket OSPF.
- Statistik antarmuka umum dan terperinci menunjukkan IP, TCP, UDP, ICMP, non-IP dan jumlah paket IP lainnya, kesalahan checksum IP, aktivitas antarmuka, jumlah ukuran paket.
- Monitor layanan TCP dan UDP menunjukkan jumlah paket yang masuk dan keluar untuk port aplikasi TCP dan UDP yang umum
- Modul statistik LAN yang menemukan host aktif dan menunjukkan statistik yang menunjukkan aktivitas data pada mereka
- TCP, UDP, dan filter tampilan protokol lainnya, memungkinkan Anda untuk hanya melihat lalu lintas yang Anda minati.
- Penebangan
- Mendukung jenis antarmuka Ethernet, FDDI, ISDN, SLIP, PPP, dan loopback.
- Memanfaatkan antarmuka soket baku bawaan dari kernel Linux, memungkinkannya untuk digunakan pada berbagai kartu jaringan yang didukung.
- Layar penuh, operasi berbasis menu.
Cuplikan layar menu utama iptraf:
Ini adalah tangkapan layar jika iftop:
Anda dapat menyimpan data keluar menggunakan tcpdump, tetapi itu sangat banyak (dan banyak dienkripsi) sehingga tidak akan ada gunanya nyata.
Lebih baik daripada mencari tahu bagaimana Anda dibobol setelah faktanya membuat perampokan lebih sulit ... periksa apa yang diinstal, pastikan sudah mutakhir, hapus hal-hal yang tidak dibutuhkan, singkirkan perangkat lunak tidak resmi (dan repositori), konfigurasikan firewall lokal, jangan nonaktifkan SELinux atau keamanan serupa , gunakan kata sandi yang baik, hati-hati dengan situs web yang Anda kunjungi, semua kebersihan normal.
Hal-hal seperti IDS bro akan menganalisis lalu lintas yang melalui antarmuka jaringan dan mencatat segala macam hal seperti koneksi dan jumlah lalu lintasnya, protokol yang ditemukan dan informasi per-protokol (seperti permintaan HTTP, surat yang dikirim, permintaan DNS, nama umum sertifikat SSL ...). Itu tidak akan memberi tahu Anda aplikasi apa yang melakukannya (kecuali dengan masuk agen pengguna seperti untuk browser HTTP). Karena mengendus paket, itu mungkin kehilangan beberapa data jika tidak dapat mengimbangi jumlah data yang dipertukarkan (meskipun itu akan melaporkan jika itu benar).
conntrackddapat digunakan untuk mencatat setiap koneksi yang dilacak oleh firewall stateful dan sebanyak mungkin data dipertukarkan. Ini akan bekerja berapa pun jumlah data yang melalui sistem, tetapi tidak akan melaporkan data tidak melalui firewall seperti traffic yang dijembatani jika dikecualikan dari netfilter atau traffic socket mentah.
Anda juga dapat menggunakan aturan firewall untuk mencatat lalu lintas menggunakan target LOG atau ULOG yang dikombinasikan dengan ulogd.
Untuk mencatat apa yang dilakukan koneksi pid, Anda harus menggunakan sistem audit ( auditd/ auditctl), tetapi itu sangat verbose dan tidak mudah dianalisis.