Monitorowanie ruchu sieciowego w Linux – narzędzia tcpdump, iftop, nethogs i inne
📡 Monitorowanie ruchu sieciowego w Linux – narzędzia tcpdump, iftop, nethogs i inne
Zarówno administratorzy serwerów, jak i bardziej zaawansowani użytkownicy Linuksa powinni znać podstawowe narzędzia do analizy ruchu sieciowego. Umożliwiają one:
✅ diagnozowanie problemów z łącznością,
✅ wykrywanie nieautoryzowanego ruchu lub ataków,
✅ identyfikowanie procesów generujących nadmierny transfer,
✅ monitorowanie usług i portów.
🧰 Przegląd przydatnych narzędzi
| Narzędzie | Zastosowanie | Interfejs |
|---|---|---|
tcpdump |
surowy podsłuch pakietów | CLI |
iftop |
ruch w czasie rzeczywistym | TUI |
nethogs |
ruch sieciowy według procesów | TUI |
bmon |
interfejsy i ich wykorzystanie | TUI |
iptraf-ng |
zaawansowany monitor TCP/UDP | TUI |
🐚 tcpdump – pakiety na surowo
📦 Instalacja:
sudo apt install tcpdump
🔍 Przykłady użycia:
- Podsłuch interfejsu:
sudo tcpdump -i eth0
- Filtrowanie według adresu IP:
sudo tcpdump -i eth0 host 192.168.1.100
- Filtrowanie portu:
sudo tcpdump -i eth0 port 80
- Zapisywanie do pliku
.pcap:
sudo tcpdump -i eth0 -w ruch.pcap
Plik .pcap można potem analizować w Wireshark.
📊 iftop – analiza ruchu w czasie rzeczywistym
📦 Instalacja:
sudo apt install iftop
🔍 Użycie:
sudo iftop -i eth0
- Klawisz
t– przełączanie wyświetlania typu ruchu (TX/RX/suma) - Klawisz
P– pauza - Klawisz
B– zmiana jednostek
🧠 nethogs – które procesy generują ruch?
📦 Instalacja:
sudo apt install nethogs
🔍 Użycie:
sudo nethogs eth0
Zobaczysz listę procesów i aplikacji zużywających łącze – idealne do:
- wykrywania malware,
- lokalizowania zapętlonych usług,
- identyfikacji ciężkich klientów.
📉 bmon – prosty i czytelny graficzny podgląd interfejsów
📦 Instalacja:
sudo apt install bmon
🔍 Użycie:
bmon
- Pokazuje dane przychodzące/wychodzące z każdego interfejsu
- Klawisz
d– szczegóły - Klawisz
q– wyjście
🧮 iptraf-ng – zaawansowane narzędzie do monitorowania TCP/UDP
📦 Instalacja:
sudo apt install iptraf-ng
🔍 Użycie:
sudo iptraf-ng
Interaktywny interfejs TUI umożliwia:
- podgląd sesji TCP,
- statystyki IP,
- ruch na portach,
- topologię IP vs port.
🧠 Bonus: filtracja i rotacja logów z tcpdump
sudo tcpdump -i eth0 -G 3600 -w "ruch-%F-%H%M.pcap"
🕒 Co godzinę (-G 3600) tworzy nowy plik .pcap z nazwą zawierającą datę i godzinę.
🔐 Wskazówki bezpieczeństwa
- Regularne monitorowanie interfejsów sieciowych pozwala wykryć:
- skanowanie portów,
- połączenia do podejrzanych IP,
- nadmiarowy ruch z konkretnych procesów,
- zewnętrzne ataki DDoS / brute-force.
- Narzędzia jak
tcpdumpmogą być używane przez fail2ban i skanery SIEM.
🔄 Automatyzacja i alerty
Możesz użyć:
cron+tcpdumpdo regularnych zrzutów ruchu,logwatchdo analizy logów,- integracji z Grafana/Prometheus/Netdata dla wizualizacji.
✅ Podsumowanie
Znajomość narzędzi do analizy sieci to fundament dla każdego:
✔️ administratora serwera,
✔️ inżyniera bezpieczeństwa,
✔️ zaawansowanego użytkownika Linuksa.
Nethogs + iftop = szybka diagnoza
Tcpdump = precyzyjna analiza
bmon/iptraf = długoterminowy monitoring
🛡️ Windows 12 a RODO/GDPR: Jak spełniać wymogi ochrony danych osobowych 📌 Wprowadzenie W dobie rosnącej cyfryzacji i globalizacji wymogi Czytaj dalej
Post-exploitation w Linuxie: Backdoory, persistence i exfiltracja danych 🕵️ Wprowadzenie Po skutecznej eskalacji uprawnień lub zdobyciu dostępu do systemu Linux, Czytaj dalej
