発信ネットワークトラフィックを確認する

Ubuntuでは、ネットワーク接続を介して送信されている情報、それを実行しているプログラム、コンピュータが接続しているサイトを確認するにはどうすればよいですか？

私はセキュリティについて偏執的ではありませんが、誰が知っていますか？

それほど多くの機能が必要ない場合は、iptrafまたは iftopをお勧めします。iptrafホームページから：

IPTrafは、Linux用のコンソールベースのネットワーク統計ユーティリティです。TCP接続パケットとバイトカウント、インターフェイス統計とアクティビティインジケータ、TCP / UDPトラフィックの内訳、LANステーションパケットとバイトカウントなど、さまざまな数値を収集します。特徴

• ネットワークを通過するIPトラフィックに関する情報を表示するIPトラフィックモニター。TCPフラグ情報、パケット数とバイト数、ICMP詳細、OSPFパケットタイプが含まれます。
• IP、TCP、UDP、ICMP、非IPおよびその他のIPパケットカウント、IPチェックサムエラー、インターフェースアクティビティ、パケットサイズカウントを示す一般的および詳細なインターフェース統計。
• 一般的なTCPおよびUDPアプリケーションポートの着信および発信パケットの数を示すTCPおよびUDPサービスモニター
• アクティブなホストを検出し、それらのデータアクティビティを示す統計を表示するLAN統計モジュール
• TCP、UDP、およびその他のプロトコル表示フィルター。関心のあるトラフィックのみを表示できます。
• ロギング
• イーサネット、FDDI、ISDN、SLIP、PPP、およびループバックインターフェイスタイプをサポートします。
• Linuxカーネルの組み込みrawソケットインターフェースを利用して、サポートされている幅広いネットワークカードで使用できるようにします。
• フルスクリーンのメニュー方式の操作。

iptrafメインメニューのスクリーンショット：

これはiftopの場合のスクリーンショットです。

tcpdumpを使用して送信データを保存することもできますが、その量は非常に多く（その多くは暗号化されているため）、実際に使用することはできません。

盗難がどのように行われたかを知るよりも、盗難を困難にすることです...インストールされているものを確認し、最新であることを確認し、不要なものを削除し、非公式のソフトウェア（およびリポジトリ）を削除し、ローカルファイアウォール、SELinuxまたは同様のセキュリティを無効にしないでください。適切なパスワードを使用し、アクセスするWebサイトには注意してください。通常の衛生状態です。

仲間のIDSのようなものは、ネットワークインターフェイスを通過するトラフィックを分析し、接続とそのトラフィック量、見つかったプロトコル、プロトコルごとの情報（HTTPリクエスト、送信メール、DNSリクエスト、SSL証明書の一般名など）のようなあらゆる種類のログを記録します...）。ただし、どのアプリケーションがそれを実行したかはわかりません（HTTPブラウザのようにユーザーエージェントをログに記録する場合を除く）。パケットをスニッフィングするため、交換されるデータの量に追いつくことができない場合、一部のデータが失われる可能性があります（そうであれば報告されます）。

conntrackdステートフルファイアウォールによって追跡されたすべての接続をログに記録し、多くのデータが交換されました。システムを通過するデータ量に関係なく機能しますが、netfilterまたはrawソケットトラフィックから除外されると、ブリッジトラフィックのようにファイアウォールを通過しないデータは報告されません。

ファイアウォールルールを使用して、LOGターゲットまたはと組み合わせたULO​​Gターゲットを使用してトラフィックをログに記録することもできますulogd。

接続を行うpidをログに記録するには、監査システム（auditd/ auditctl）を使用する必要がありますが、これは非常に冗長であり、簡単に分析できません。