是否可以记录 Linux Debian 中尝试连接或连接到端口“5901”的所有 IP 地址?
我怎样才能做到这一点?
答案1
你可以使用 iptables
iptables -I INPUT -p tcp -m tcp --dport 5901 -m state --state NEW -j LOG --log-level 1 --log-prefix "New Connection "
这将记录端口 5901 上的新 TCP 连接,/var/log/syslog如下/var/log/kernel.log所示
12 月 12 日 07:52:48 u-10-04 内核:[591690.935432] 新连接 IN=eth0 OUT=MAC=00:0c:29:2e:78:f1:00:0c:29:eb:43:22:08:00 SRC=192.168.254.181 DST=192.168.254.196 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=40815 DF PROTO=TCP SPT=36972 DPT=5901 WINDOW=14600 RES=0x00 SYN URGP=0
答案2
如果是短期的-应该这样做:
tcpdump -n -i eth0 -w file.cap "port 5901"
或者你也可以使用 iptables 的日志目标:
iptables -A INPUT -p tcp --dport 5901 -j LOG --log-prefix '** guests **'--log-level 4
这可能会淹没你的日志
答案3
您可以使用netstat选项 -v,-n,-t,-a
例如
netstat -anp | :8080 | grep ESTABLISHED | wc -l
或
root@user:/home# netstat -vatn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 192.168.1.174:8080 192.168.1.126:53021 ESTABLISHED
tcp 0 0 192.168.1.174:8080 192.168.1.126:32950 ESTABLISHED
tcp 0 0 192.168.1.174:8080 192.168.1.126:39634 ESTABLISHED
tcp 0 0 192.168.1.174:8080 192.168.1.126:59300 ESTABLISHED
tcp 0 0 192.168.1.174:8080 192.168.1.188:49551 ESTABLISHED
tcp 0 0 192.168.1.174:9090 192.168.1.126:37865 ESTABLISHED
tcp 0 0 192.168.1.174:9090 192.168.1.188:51411 ESTABLISHED
tcp 0 0 192.168.1.174:8080 192.168.1.126:50824 ESTABLISHED