Comment enregistrer les adresses IP essayant de se connecter à un port?

10

Est-il possible de consigner toutes les adresses IP qui tentent de se connecter ou sont connectées au port "5901" dans Linux Debian?

Comment puis je faire ça?

linux debian iptables firewall Gihan Lasita
la source
1
pourquoi voter contre dès que la question est postée?
Gihan Lasita
1
Je ne l'ai pas dévalorisé, mais l'une des raisons pour lesquelles un vote négatif sur SF est que la question "ne montre aucun effort de recherche" et je suis désolé, mais pas la vôtre.
MadHatter

Réponses:

19

Vous pouvez le faire en utilisant iptables 

iptables -I INPUT -p tcp -m tcp --dport 5901 -m state --state NEW  -j LOG --log-level 1 --log-prefix "New Connection "

Cela enregistrera les nouvelles connexions TCP sur le port 5901 /var/log/sysloget /var/log/kernel.logcomme ceci

12 décembre 07:52:48 noyau u-10-04: [591690.935432] Nouvelle connexion IN = eth0 OUT = MAC = 00: 0c: 29: 2e: 78: f1: 00: 0c: 29: eb: 43: 22: 08:00 SRC = 192.168.254.181 DST = 192.168.254.196 LEN = 60 TOS = 0x10 PREC = 0x00 TTL = 64 ID = 40815 DF PROTO = TCP SPT = 36972 DPT = 5901 WINDOW = 14600 RES = 0x00 SYN URGP = 0

user9517
la source
12

si c'est à court terme - cela devrait faire:

tcpdump -n -i eth0 -w file.cap "port 5901"

vous pouvez également utiliser la cible de journal d'iptables:

iptables -A INPUT -p tcp --dport 5901 -j LOG --log-prefix '** guests **'--log-level 4

cela pourrait inonder vos journaux

pQd
la source
-2

vous pouvez utiliser netstatavec les options -v, -n, -t, -a

par exemple netstat -anp | :8080 | grep ESTABLISHED | wc -l OU

root@user:/home# netstat -vatn

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 192.168.1.174:8080      192.168.1.126:53021     ESTABLISHED
tcp        0      0 192.168.1.174:8080      192.168.1.126:32950     ESTABLISHED
tcp        0      0 192.168.1.174:8080      192.168.1.126:39634     ESTABLISHED
tcp        0      0 192.168.1.174:8080      192.168.1.126:59300     ESTABLISHED
tcp        0      0 192.168.1.174:8080      192.168.1.188:49551     ESTABLISHED
tcp        0      0 192.168.1.174:9090      192.168.1.126:37865     ESTABLISHED
tcp        0      0 192.168.1.174:9090      192.168.1.188:51411     ESTABLISHED
tcp        0      0 192.168.1.174:8080      192.168.1.126:50824     ESTABLISHED
Amol
la source
Étant donné que cette commande ne produit pas de journal de toutes les adresses IP, ce n'est pas une réponse à la question.
kasperd
De plus, "ESTABLISHED" ne s'est produit que lorsqu'ils se sont connectés avec succès, donc cela ne montre pas qui tente de se connecter (par exemple, si le port n'est pas ouvert, ils échoueront tous).
tripleee