Iptraf

Funciona recolectando información de las conexiones TCP, como las estadísticas y la actividad de las interfaces, así como las caídas de tráfico TCP y UDP. Se encuentra disponible en sistemas operativos GNU/Linux.

Características:

  • Monitor de tráfico IP que muestra información del tráfico de la red.
  • Estadísticas generales de las Interfaces.
  • Módulo de estadísticas de LAN que descubre hosts y muestra datos sobre su actividad.
  • Monitor TCP, UDP que muestra la cuenta de los paquetes de red para las conexiones de los puertos de aplicaciones.
  • Utiliza el “raw socket interface” que lleva el kernel permitiendo ser usado por un amplio rango de “tarjetas de red” .

Interfaces de red:

  • Loopback local
  • Todas las interfaces Ethernet admitidas por GNU/Linux.
  • Todas las interfaces FDDI admitidas por GNU/Linux.
  • SLIP
  • Asynchronous PPP
  • Synchronous PPP over ISDN
  • ISDN con encapsulación Raw IP
  • ISDN con encapsulación Cisco HDLC
  • Línea IP Paralela.

Las principales estructuras de datos que usan las distintas facilidades del programa se encuentran en listas doblemente enlazadas, lo cual facilita su desplazamiento. El máximo número de entradas está únicamente limitado por la memoria aleatoria disponible. Las operaciones de búsqueda en la mayoría de las facilidades se llevan a cabo linealmente, hecho que provoca un suave pero casi imperceptible impacto. Debido a la rapidez con que tiende a crecer el monitor de tráfico de ips, usa una Tabla hash para realizar las búsquedas con mayor eficiencia. (Las operaciones de búsqueda se llevan a cabo cada vez que el programa necesita comprobar si ya está en la lista la dirección Ethernet o ip o el protocolo o el puerto de red. Además, cuenta también con un mecanismo de doblado de enlaces que meramente contiene anotaciones sobre entradas antiguas que están disponibles para volverse a usar. Cada vez que una conexión se reinicia o cierra completamente, la información de entradas no se libera, sino que se le añade una entrada a la lista-cerrada. Al detectar una nueva conexión, la lista se comprueba y si no está vacía, la primera entrada en uso que esté disponible se volverá a usar, para entonces, borrar la lista-cerrada.
Prácticamente todas las distros lo tienen en sus repositorios.

Debian, Ubuntu y derivados:

OpenSuse:

Fedora, CenTos y derivados:

Ejecutar en terminal con:

 

tcptrack

Tcptrack, utilizado para conocer la información de las sesiones, lo cual te dara información muy útil relativa a los ataques. Muestra direcciones de origen y destino, los puertos, estado de conexión, el tiempo de inactividad, y tambien el uso del ancho de banda.

Instalar en CenTos y derivados:

Mas versiones aquí: http://pkgs.repoforge.org/tcptrack/

Instalar en Debian y derivados:

Instalar en OpenSuse:

Dependera de tu version Open. Selecciona en esta pagina y descargas el rpm correcto, http://download.opensuse.org/repositories/network:/utilities/

Para ejecutarlo:

Otro ejemplo seria monitorizar un puerto especifico: