แสดงการเชื่อมต่อเครือข่ายของกระบวนการ

มีวิธีแสดงการเชื่อมต่อของกระบวนการหรือไม่ อะไรแบบนั้น:

show PID

ซึ่งshowเป็นคำสั่งให้ทำเช่นนี้และPIDเป็น pid ของกระบวนการ ผลลัพธ์ที่ฉันต้องการประกอบด้วยการเชื่อมต่อของกระบวนการทั้งหมด (แบบเรียลไทม์) ตัวอย่างเช่นถ้ากระบวนการพยายามที่จะเชื่อมต่อกับ173.194.112.151173.194.112.151ออกเป็น

ตัวอย่างที่เฉพาะเจาะจงมากขึ้นกับ Firefox:

show `pidof firefox`

และกับ Firefox ผมไปครั้งแรกบนgoogle.comแล้วในunix.stackexchange.comและในที่สุดก็192.30.252.129 ผลลัพธ์เมื่อฉันปิดเบราว์เซอร์จะต้อง:

google.com
stackexchange.com
192.30.252.129

(เห็นได้ชัดกับเบราว์เซอร์เอาต์พุตนี้ไม่เหมือนจริงเนื่องจากมีการเชื่อมต่ออื่น ๆ ที่เกี่ยวข้องจำนวนมาก แต่นี่เป็นเพียงตัวอย่างเท่านั้น)

คุณกำลังมองหาstrace! ฉันพบคำตอบนี้ใน Askubuntuแต่มันใช้ได้สำหรับ Unix:

ในการเริ่มและตรวจสอบกระบวนการใหม่:

strace -f -e trace=network -s 10000 PROCESS ARGUMENTS

ในการตรวจสอบกระบวนการที่มีอยู่ด้วย PID ที่รู้จัก:

strace -p $PID -f -e trace=network -s 10000

มิฉะนั้น แต่เฉพาะ Linux คุณสามารถเรียกใช้กระบวนการในเนมสเปซเครือข่ายแยกและใช้ wireshark เพื่อตรวจสอบปริมาณการใช้งาน นี่อาจจะสะดวกกว่าการอ่านstraceบันทึก:

• สร้างเนมสเปซเครือข่ายทดสอบ:

  ip netns add test
  

• สร้างอินเตอร์เฟสเครือข่ายเสมือนคู่หนึ่ง (veth-a และ veth-b):

  ip link add veth-a type veth peer name veth-b
  

• เปลี่ยนเนมสเปซที่ใช้งานของอินเตอร์เฟส veth-a:

  ip link set veth-a netns test
  

• กำหนดค่าที่อยู่ IP ของอินเตอร์เฟสเสมือน:

  ip netns exec test ifconfig veth-a up 192.168.163.1 netmask 255.255.255.0
  ifconfig veth-b up 192.168.163.254 netmask 255.255.255.0
  

• กำหนดค่าการกำหนดเส้นทางในทดสอบเนมสเปซ:

  ip netns exec test route add default gw 192.168.163.254 dev veth-a
  

• เปิดใช้งาน ip_forward และสร้างกฎ NAT เพื่อส่งต่อปริมาณข้อมูลที่เข้ามาจากเนมสเปซที่คุณสร้างขึ้น (คุณต้องปรับเน็ตเวิร์กอินเตอร์เฟสและที่อยู่ IP ของ SNAT):

  echo 1 > /proc/sys/net/ipv4/ip_forward
  iptables -t nat -A POSTROUTING -s 192.168.163.0/24 -o YOURNETWORKINTERFACE -j SNAT --to-source YOURIPADDRESS
  

  (คุณสามารถใช้กฎ MASQUERADE ได้หากต้องการ)

• ในที่สุดคุณสามารถเรียกใช้กระบวนการที่คุณต้องการวิเคราะห์ในเนมสเปซใหม่และ wireshark ด้วย:

  ip netns exec test thebinarytotest
  ip netns exec test wireshark
  

  คุณจะต้องตรวจสอบอินเตอร์เฟสของ veth-a

ลอง

lsof -i -a -p `pidof firefox`

นี่เป็นวิธีการอื่น:

ss -nap | grep $(pidof firefox)

ตัวอย่างผลลัพธ์:

tcp    ESTAB      0      0          192.168.0.222:49050    216.58.218.164:443    users:(("firefox",3280,69))
tcp    ESTAB      0      0          192.168.0.222:48630    198.252.206.25:443    users:(("firefox",3280,106))
tcp    ESTAB      0      0          192.168.0.222:44220     216.58.217.38:443    users:(("firefox",3280,140))
tcp    ESTAB      0      0          192.168.0.222:52690    54.240.170.181:80     users:(("firefox",3280,107))
tcp    ESTAB      0      0          192.168.0.222:48744    198.252.206.25:443    users:(("firefox",3280,87))
tcp    ESTAB      0      0          192.168.0.222:48811    198.252.206.25:443    users:(("firefox",3280,73))

คุณสามารถลองด้วย netstat -pคุณสามารถลองยังมีจากหน้าคน:

netstat - พิมพ์การเชื่อมต่อเครือข่าย, ตารางการเราต์, สถิติอินเตอร์เฟส, การเชื่อมต่อปลอมแปลงและการเป็นสมาชิกแบบหลายผู้รับ

เพื่อแสดงเฉพาะการเชื่อมต่อเครือข่ายที่ใช้ netstat -tupเพื่อแสดงเฉพาะการเชื่อมต่อเครือข่ายใช้โปรดสังเกตว่าหากต้องการดูกระบวนการ PID คุณอาจต้องเป็นรูท

หากคุณไม่มีnetstatในระบบของคุณคุณอาจมีssซึ่งมีเกือบแน่นอนไวยากรณ์ คุณสามารถใช้ss -tup(เป็นรูท)