Для чего это нужно? Например, мы хотим проверить, не идет ли у нас общение нашего сервера с каким-нибудь зарубежным сервером? Не передает ли какая-нибудь утилита куда-нибудь зарубеж какие-нибудь данные? В условиях текущих реалий вопросы ИБ встают очень остро. И какое-нибудь обновление какой-нибудь утилиты из-за рубежа может содержать в себе троян, собирающий данные с нашего сервера.
Для этого есть очень простая утилита tcpdump. Если ее запустить без ключей, то начнется вывод всего трафика. Это можно посмотреть, но недолго, так как там все несётся со скоростью света. Нам это все нужно как-то отфильтровать. Останавливаем вывод по Ctrl+C, копируем IP-адрес нашего сервера и пишем команду (XXX — это IP-адрес нашего сервера):
tcpdump not host XXX.XXX.XXX.XXX
Этой командой мы будем смотреть весь трафик, который не касается нашего IP-адреса (команда отрицания NOT host). Смотрим, что выводится. Скорей всего появятся еще строки, которые связываются с каким-нибудь сервисом, к которому наш сайт подключен (например, облачные сервисы и пр.). Постепенно их все отключаем добавлением к нашей команде (команда сложения AND):
tcpdump not host XXX.XXX.XXX.XXX and not host YYY.YYY.YYY.YYY
Цепочка может получится длинной, но в итоге у нас останется только тот трафик, который не идет по нашим сервисам. Вот его и надо будет изучить. Эту команду можно запустить на пол-дня/день. Можно сделать запись в файл и потом анализировать на следующий день:
tcpdump ... > tcpdump_DDDD-MM-YY.txt
Если у вас ничего лишнего нет в трафике, значит все прекрасно! Делать эту процедуру рекомендуется после установки обновлений библиотек и раз в месяц профилактически.
