如果您有一个正在运行的Linux服务器,您可能怀疑有一些恶意流量进来,或者想知道这个新机器的网络动态。有很多工具可以完成这项工作,其中一些工具已经存在很长时间了。然而,其中一些命令可能非常复杂,或者实际上并没有按照您想要的方式工作。
我更喜欢使用一种特定的工具来完成这项工作。所说的工具是TShark,它是一直流行的Wireshark的命令行工具。
使用tshark命令,您可以侦听传入的流量,从而监视Linux服务器上的端口。它实际上很容易安装和使用。
我将在Ubuntu Server 18.40上进行演示,但是可以从发行版的标准存储库中安装该工具。
1、如何安装TShark
TShark的安装很简单。在服务器上打开终端窗口,然后发出以下命令:
sudo apt-get install tshark -y
这就是安装的全部内容。
2、如何找到您的网络端口
使用TShark,您的网络端口与数字关联。如果只有一个端口,则不必担心这一点。但是,如果您有多个端口,或者将此服务器用于容器,则需要知道TShark侦听哪个端口。
为此,发出命令:
sudo tshark -D
该命令的输出将列出所有可用端口(图A)。
列出了所有端口,包括容器。
3、如何与TShark一起监听
现在我们有了端口列表,现在可以实时查看流量了。假设您只想在ens5上监听,这是服务器上的主要端口。为此,您可以发出以下命令:
sudo tshark -i 6
下面将列出每个端口以检测任何类型的流量(图B)。
tshark命令正在侦听所有端口上的传入流量。
如果这太多了,您总是可以指示TShark侦听特定的端口。举例来说,假设您怀疑SSH出现了问题(也许有人试图通过端口22入侵您的服务器)。要让TShark仅侦听该端口,请发出以下命令:
sudo tshark -i 6 -f "tcp port 22"
上面的命令将仅输出与端口22相关的信息(图C)。
使用TShark仅侦听SSH流量。
尽管TShark还有更多的功能,但要继续监听Linux服务器上的端口通信,您只需要知道这些。要了解更多关于TShark的信息,请使用man TShark命令。
