LINUX_ODMIN Telegram 200
tgoop.com » United States » Linux: Системный администратор » Telegram web » Post 200
Linux: Системный администратор
🚨 tcpdump + iptables: ищем странный трафик с минимальными усилиями

Бывает сервер грузится входящими соединениями, но откуда — непонятно. Ловим сразу по факту, не копаясь в логах.

🎯 Цель: отловить соединения к нестандартному порту, которых быть не должно.

🔧 Шаги:

1. Выясни, куда идет трафик:


   ss -tnlp


Смотри, какие порты слушаются. Допустим, нашли неожиданный порт 4444.

2. Добавь временное правило в iptables, чтобы логировать:


   iptables -I INPUT -p tcp --dport 4444 -j LOG --log-prefix "INCOMING 4444: " --log-level 4


3. Лови трафик через tcpdump, если логов нет или нужно больше деталей:


   tcpdump -i any port 4444 -n


Или в файл:


   tcpdump -i any port 4444 -n -w suspicious.pcap


4. Проверка логов:


   dmesg | grep 'INCOMING 4444'


Или в journald:


   journalctl -k | grep 'INCOMING 4444'


5. Удаление правила после анализа:


   iptables -D INPUT -p tcp --dport 4444 -j LOG --log-prefix "INCOMING 4444: " --log-level 4


⚠️ Зачем и когда применять:

– Быстрое выявление подозрительной активности
– Минимальное вмешательство в работу сервиса
– Отличный способ понять, «кто ломится» на редкие или ошибочно открытые порты

💡 tcpdump + iptables LOG — мощный дуэт для экспресс-анализа трафика без сложных тулов.

Сохрани, пригодится при разборе аномалий ⚙️

#Linux@linux_odmin #Github@linux_odmin

👉 @linux_odmin
👍5
www.tgoop.com/linux_odmin/200
1.12K views



tgoop.com/linux_odmin/200
Create:
Last Update:

🚨 tcpdump + iptables: ищем странный трафик с минимальными усилиями

Бывает сервер грузится входящими соединениями, но откуда — непонятно. Ловим сразу по факту, не копаясь в логах.

🎯 Цель: отловить соединения к нестандартному порту, которых быть не должно.

🔧 Шаги:

1. Выясни, куда идет трафик:


   ss -tnlp


Смотри, какие порты слушаются. Допустим, нашли неожиданный порт 4444.

2. Добавь временное правило в iptables, чтобы логировать:


   iptables -I INPUT -p tcp --dport 4444 -j LOG --log-prefix "INCOMING 4444: " --log-level 4


3. Лови трафик через tcpdump, если логов нет или нужно больше деталей:


   tcpdump -i any port 4444 -n


Или в файл:


   tcpdump -i any port 4444 -n -w suspicious.pcap


4. Проверка логов:


   dmesg | grep 'INCOMING 4444'


Или в journald:


   journalctl -k | grep 'INCOMING 4444'


5. Удаление правила после анализа:


   iptables -D INPUT -p tcp --dport 4444 -j LOG --log-prefix "INCOMING 4444: " --log-level 4


⚠️ Зачем и когда применять:

– Быстрое выявление подозрительной активности
– Минимальное вмешательство в работу сервиса
– Отличный способ понять, «кто ломится» на редкие или ошибочно открытые порты

💡 tcpdump + iptables LOG — мощный дуэт для экспресс-анализа трафика без сложных тулов.

Сохрани, пригодится при разборе аномалий ⚙️

#Linux@linux_odmin #Github@linux_odmin

👉 @linux_odmin

BY Linux: Системный администратор


Share with your friend now:
tgoop.com/linux_odmin/200

View MORE
Open in Telegram


Telegram News

Date: |

Don’t publish new content at nighttime. Since not all users disable notifications for the night, you risk inadvertently disturbing them. Find your optimal posting schedule and stick to it. The peak posting times include 8 am, 6 pm, and 8 pm on social media. Try to publish serious stuff in the morning and leave less demanding content later in the day. More>> Unlimited number of subscribers per channel As the broader market downturn continues, yelling online has become the crypto trader’s latest coping mechanism after the rise of Goblintown Ethereum NFTs at the end of May and beginning of June, where holders made incoherent groaning sounds and role-played as urine-loving goblin creatures in late-night Twitter Spaces.
from us


🚨 tcpdump + iptables: ищем странный трафик с минимальными усилиями

 Linux: Системный администратор TG
web: 200
Linux: Системный администратор.Telegram web
Linux: Системный администратор Telegram TG Channel
Telegram Updated:
Telegram Linux: Системный администратор
FROM American