ระบุแอปพลิเคชันที่เข้าถึงอินเทอร์เน็ต“ โกง”

ตอนนี้ฉันมีแอพพลิเคชั่น / บริการ / วิดเจ็ต / ปลั๊กอิน / cronjob อะไรก็ตามที่เข้าถึงอินเทอร์เน็ตเป็นประจำ ฉันสามารถเข้าไปดูรายละเอียดของปัญหาเฉพาะของฉันได้ แต่ฉันต้องการคำตอบที่จะช่วยให้ฉันสามารถหาข้อบกพร่องได้ด้วยตัวเองและในกระบวนการเรียนรู้เพิ่มเติมเกี่ยวกับ Ubuntu

ฉันใช้dnstopในขณะนี้เพื่อแสดงคำขอ DNS ทั้งหมดที่ทำในเครือข่ายของฉัน ขณะนี้มีข้อโต้แย้งเกิดขึ้นมีการร้องขอให้ดำเนินไปweather.noaa.govในรอบ 15 นาที อาจเป็นวิดเจ็ตสภาพอากาศแม้ว่าฉันจะตรวจสอบกระบวนการของฉันแล้วและไม่พบสิ่งใดเลยและคำขอนั้นมาจากคอมพิวเตอร์ของฉัน

ดังนั้นคำถามฉันจะทราบได้อย่างไรว่ากระบวนการweather.noaa.govใดบ้างในการเข้าถึง

ฉันไม่ต้องการผ่านขั้นตอนการจุดไข่ปลาโดยการปิดบริการ / ปลั๊กอิน / แอปพลิเคชันแต่ละตัวเพื่อคิดออก ฉันต้องการค้นหาวิธีพิจารณาว่ากระบวนการใดที่ทำให้คำขอ DNS นั้น

หากฉันมี "แอพพลิเคชันไฟร์วอลล์" ที่ดีคำขอจะไม่เคยเกิดขึ้น แต่นี่เป็นสถานการณ์ "ม้าได้ปิดแล้ว" และต้องการพบว่ากระบวนการ "โกง" ที่ทำให้คำขอ DNS นั้น

หากคุณไม่คิดว่าจะมีการวนซ้ำไม่สิ้นสุดคุณสามารถเรียกใช้ netstat อย่างต่อเนื่องและกรองผลลัพธ์สำหรับที่อยู่ IP ของคอมพิวเตอร์ที่โปรแกรมของคุณเชื่อมต่ออยู่ ฉันแนะนำให้ใช้ที่อยู่ IP แทนชื่อโดเมนเพราะเร็วกว่าลดเวลาในการโทร netstat แต่ละครั้งและเพิ่มโอกาสในการจับกระบวนการของคุณ คุณควรรันคำสั่ง netstat ในฐานะ root หากคุณคิดว่ากระบวนการไม่ได้เป็นของผู้ใช้ที่เข้าสู่ระบบในปัจจุบัน ดังนั้นก่อนอื่นให้ใช้ nslookup เพื่อคิด IP ของโดเมน:

nslookup weather.noaa.gov

สำหรับฉันตอนนี้ให้ในขณะนี้: 193.170.140.70 และ 193.170.140.80 ตอนนี้คุณสามารถใส่ netstats วนซ้ำได้ ผลลัพธ์ที่คุณสามารถกรองได้โดยใช้ grep (และยกเลิก STDERR)

while [ true ] ;  do netstat -tunp 2>/dev/null | grep -e 193.170.140.70 -e 193.170.140.80  ; done

แน่นอนแก้ไขที่อยู่ IP ในตัวอย่างข้างต้น ตัวอย่างนี้กำลังโพรบสำหรับการเชื่อมต่อ TCP และ UDP (-tu) ไม่ทำการแก้ไข DNS (-n) และแสดงรายการกระบวนการ (-p) หากคุณคิดว่ามีเวลาเพียงพอในการแก้ปัญหา DNS เพียงละเว้นตัวเลือก -n สำหรับ netstat และวางโดเมนสำหรับ grep แทน IP คุณสามารถหยุดการวนซ้ำไม่สิ้นสุดโดยกด CTRL + c

หวังว่านี่จะช่วยได้ Andreas

PS: ฉันรู้ว่านี่ไม่ใช่วิธีที่เหมาะมีประสิทธิภาพหรือสะอาดในการทำ แต่สำหรับการค้นหาเพียงครั้งเดียวนี่น่าจะเพียงพอแล้ว

นอกจากนี้คุณยังสามารถ "ทำลาย" แอปพลิเคชันผ่าน / etc / hosts นอกเหนือจาก FQDN ที่เชื่อมต่ออยู่ ให้ IP ที่ไม่สามารถกำหนดเส้นทางได้เช่น 10.1.2.3 (หรือ 127.0.0.1) และดูว่าตัวแบ่งใดบ้าง