Ad esempio, se improvvisamente notate attività sospetta (ed inaspettata) di una o più applicazioni della vostra macchina, con una serie di comandi potrete rendervi conto delle applicazioni che si collegano alla rete per constatare se siete vittime di un rootkit o di un malware in generale.
O, ancora, potrebbe ritornare utile rendervi conto di quale programma usa maggiormente la banda di rete. Se siete sviluppatori e state scrivendo un’app che fa uso di Internet, inoltre, monitorare il tutto può essere molto utile ai fini di debug.
Di seguito vengono mostrati alcuni esempi di utilizzo tipico di quattro applicazioni da linea di comando – utili quindi anche per l’utilizzo da remoto – atte allo scopo.
Le applicazioni contrassegnate come “monitor” permetteranno di monitorare il sistema in real-time finché non verranno manualmente interrotte, quelle contrassegnate come “istantanee” restituiranno come output un’istantanea dello stato della rete.
Controllare la rete da terminale con Linux
Nethogs (Monitor) nethogs
Indubbiamente uno dei tool dall’utilizzo più semplice e particolarmente adatto agli scopi prefissi: in poche parole nethogs permette di visualizzare il traffico di rete in transito tra le applicazioni eseguite in modalità grafica.
Richiede i privilegi di root per essere utilizzato.
Tramite nethogs si possono ottenere informazioni quali il pid del processo, l’utente che lo esegue, il nome (ed eventualmente i parametri) del processo, l’interfaccia di rete e la velocità di invio e ricezione dei dati (in KB/s).
Per conoscere l’interfaccia di rete digitare il comando:
$ ip a
Per procedere, basterà digitare a terminale il comando
$ nethogs <interfaccia_di_rete> (Nel nostro caso enp3s0: ethernet oppure wlp2s0: Wireless vedi immagine sopra)
(ad es. nethogs wlan0). E’ possibile uscire in qualsiasi momento dal monitor utilizzando il tasto “q”.
Nethogs potrebbe non essere installato di default sul sistema operativo: in tal caso potrete utilizzare il vostro gestore pacchetti (apt, dnf, yum, pacman, yaourt o quant’altro) per procedere al download e all’installazione.
Nel caso di Ubuntu e Debian potrete installare nethogs tramite il comando
$ sudo apt update
$ sudo apt install nethogs
TCPDUMP (Monitor)
TCPDump è indubbiamente uno degli applicativi più completi ed utili (forse qualche volta fin troppo) per sorvegliare del traffico di rete.
Esso permette di monitorare, visualizzare, analizzare e loggare qualsiasi cosa passi attraverso la rete, permettendo all’utente di prendere visione degli indirizzi di arrivo e destinazione, delle porte d’ascolto, dell’offset dei pacchetti, della tipologia dei pacchetti in transito, dell’header (o del contenuto completo) dei pacchetti, delle applicazioni locali che li gestiscono e molto altro ancora.
Come avrete inteso tcpdump è particolarmente utile ai fini di low-level debugging e necessita dei permessi di root per funzionare. Un utilizzo di base di tcpdump potrebbe essere
$ tcpdump -bi interfaccia_di_rete (Esempio: enp3s0: Ethernet oppure wlp2s0: Wireless)
Volendo è possibile redirigere l’output in un file di testo, digitando
$ tcpdump -bi interfaccia_di_rete > logfile.txt (Esempio: enp3s0: Ethernet oppure wlp2s0: Wireless)
Per interrompere la scansione è possibile utilizzare in qualsiasi momento la combinazione di tasti CTRL+C.
LSOF (Istantanea) lsof
Il comando lsof (list open file) permette, nel suo utilizzo di base, di ottenere una lista dei file aperti dal sistema operativo.
Se invocato col parametro -i permette di ottenere informazioni sui processi (nomi e pid) che utilizzano la rete, sul loro stato (connessione stabilita, in chiusura, in listening), sul tipo di protocollo IP usato (ipv4/v6), sulla dimensione dei pacchetti, sulle porte locali in uso e sull’indirizzo di destinazione dei pacchetti in uscita (o l’indirizzo di arrivo dei pacchetti in entrata).
Quindi, per ottenre una lista di tutti i processi utente che interagiscono con la rete, bisognerà digitare:
$ lsof -i
Per ottenere una lista dei processi utente che stanno utilizzando la rete andremo a digitare
$ lsof -i | grep ESTABLISHED
Per ottenere una lista dei processi di tutti gli utenti (e del sistema operativo) che interagiscono con la rete dovremo eseguire gli stessi comandi da root (o utilizzando sudo).
Netstat (istantanea) netstat
Il comando netstat, nel suo utilizzo di base, permette di visualizzare diverse statistiche su tutte le connessioni (sia internet che di sistema, tramite socket).
Se raffinato con determinati parametri sarà possibile visualizzare informazioni sull’utilizzo della rete del tutto simili a quelle mostrate da lsof, con in più le code di invio e ricezione pacchetti.
Quindi, per ottenre una lista di tutti i processi utente che interagiscono con la rete, bisognerà digitare:
$ netstat -tuapw –numeric-hosts –numeric-ports
Per ottenere una lista dei processi utente che stanno utilizzando la rete bisognerà digitare
$ netstat -tuapw –numeric-hosts –numeric-ports | grep ESTABLISHED
Chiaramente è possibile salvare in un file l’output del comando semplicemente utilizzando l’operatore di redirezione:
$ netstat -tuapw –numeric-hosts –numeric-ports | grep ESTABLISHED > log.txt
Per ottenere una lista dei processi di tutti gli utenti (e del sistema operativo) che interagiscono con la rete basterà eseguire gli stessi comandi da root (o utilizzando sudo).