检查传出网络流量

在Ubuntu中，如何检查通过网络连接发送的信息，正在执行哪些程序以及计算机连接到的站点？

我对安全性并不偏执，但是谁知道呢？

如果您不需要那么多功能，我建议使用iptraf或 iftop。从iptraf首页：

IPTraf是Linux的基于控制台的网络统计实用程序。它收集了各种数据，例如TCP连接数据包和字节数，接口统计信息和活动指示器，TCP / UDP流量明细以及LAN站数据包和字节数。特征

• IP流量监视器，显示有关通过网络传递的IP流量的信息。包括TCP标志信息，数据包和字节数，ICMP详细信息，OSPF数据包类型。
• 常规和详细的接口统计信息，显示IP，TCP，UDP，ICMP，非IP和其他IP数据包计数，IP校验和错误，接口活动，数据包大小计数。
• 一个TCP和UDP服务监视器，显示常见TCP和UDP应用程序端口的传入和传出数据包计数
• LAN统计信息模块，可发现活动的主机并显示统计信息，以显示主机上的数据活动
• TCP，UDP和其他协议显示过滤器，使您仅可以查看您感兴趣的流量。
• 记录中
• 支持以太网，FDDI，ISDN，SLIP，PPP和回送接口类型。
• 利用Linux内核的内置原始套接字接口，使其可以在各种受支持的网卡上使用。
• 全屏菜单驱动操作。

iptraf主菜单的屏幕截图：

这是iftop的屏幕截图：

您可以使用tcpdump保存传出的数据，但是它是如此之多（其中很多是经过加密的），因此不会有任何实际用途。

总比弄清盗窃案的事实要找出您如何被盗窃要好得多。本地防火墙，请勿禁用SELinux或类似的安全性，使用良好的密码，请谨慎访问您访问的网站，一切正常。

像兄弟IDS这样的事情将分析通过网络接口的流量，并记录各种事情，例如连接及其流量，找到的协议和按协议信息（例如HTTP请求，发送的邮件，DNS请求，SSL证书通用名称） ...）。它不会告诉您是什么应用程序执行的（除了通过记录用户代理（例如HTTP浏览器）之外）。因为它嗅探数据包，所以如果它跟不上正在交换的数据量，它可能会丢失一些数据（尽管如果报告，它将报告）。

conntrackd可用于记录状态防火墙跟踪的每个连接以及交换的数据量。无论通过系统的数据量如何，它都可以工作，但是如果不从netfilter或原始套接字流量中排除，则不会报告未通过防火墙的数据，例如桥接流量。

您还可以使用防火墙规则，将LOG目标或ULOG与结合使用，以记录流量ulogd。

要记录连接所用的pid，您需要使用审核系统（auditd/ auditctl），但这将非常冗长且不易分析。