列出一段时间内的活动网络端口和协议

Question 1

您可以安装并激活auditd。在审计配置中添加规则：

-a always,exit -F arch=b64 -S connect -F key=CONNECT
-a always,exit -F arch=b64 -S bind -F key=BIND
-a always,exit -F arch=b64 -S socket -F key=SOCKET
-a always,exit -F arch=b64 -S listen -F key=LISTEN
-a always,exit -F arch=b64 -S shutdown -F key=SHUTDOWN
-a always,exit -F arch=b64 -S close -F key=CLOSE

您将可以在审计日志中监控与套接字相关的系统调用。

如果您想查找现在的旧信息（并且没有audit），我不认为您会在 Linux 中找到相关信息。

Answer

您可以安装并激活auditd。在审计配置中添加规则：

-a always,exit -F arch=b64 -S connect -F key=CONNECT
-a always,exit -F arch=b64 -S bind -F key=BIND
-a always,exit -F arch=b64 -S socket -F key=SOCKET
-a always,exit -F arch=b64 -S listen -F key=LISTEN
-a always,exit -F arch=b64 -S shutdown -F key=SHUTDOWN
-a always,exit -F arch=b64 -S close -F key=CLOSE

您将可以在审计日志中监控与套接字相关的系统调用。

如果您想查找现在的旧信息（并且没有audit），我不认为您会在 Linux 中找到相关信息。

Question 2

主机网络堆栈内跟踪的替代方法是跟踪线路上的流量。

对相关接口进行数据包捕获。在该主机上或路径中的某个位置。

有各种工具可以解析这些信息，当然还有 TCP 和 UDP 信息，以及一些应用程序的见解。Wireshark 是免费的，但它远非唯一的数据包分析工具。

Answer

主机网络堆栈内跟踪的替代方法是跟踪线路上的流量。

对相关接口进行数据包捕获。在该主机上或路径中的某个位置。

有各种工具可以解析这些信息，当然还有 TCP 和 UDP 信息，以及一些应用程序的见解。Wireshark 是免费的，但它远非唯一的数据包分析工具。

列出一段时间内的活动网络端口和协议

答案1

答案2

相关内容