วิธีการติดตามกิจกรรมเครือข่ายของคำสั่ง?

ฉันต้องการติดตามกิจกรรมเครือข่ายของคำสั่งฉันลอง tcpdump และ strace ไม่สำเร็จ

ตัวอย่างเช่นหากฉันกำลังติดตั้งแพคเกจหรือใช้คำสั่งใด ๆ ที่พยายามเข้าถึงบางไซต์ฉันต้องการดูกิจกรรมเครือข่ายนั้น (ไซต์ที่พยายามเข้าถึง)

ฉันเดาว่าเราสามารถทำได้โดยใช้ tcpdump ฉันพยายาม แต่มันกำลังติดตามกิจกรรมเครือข่ายทั้งหมดของระบบของฉัน สมมติว่าถ้าฉันใช้คำสั่งที่เกี่ยวข้องกับเครือข่ายหลายเครือข่ายและฉันต้องการติดตามเฉพาะกิจกรรมเครือข่ายคำสั่งเฉพาะเวลานั้นยากที่จะหาคำตอบที่แน่นอน

มีวิธีทำเช่นนั้นหรือไม่?

UPDATE:

ฉันไม่ต้องการติดตามทุกสิ่งที่เกิดขึ้นบนอินเทอร์เฟซเครือข่ายของฉัน ฉันต้องการติดตามคำสั่ง (สำหรับตัวอย่างกิจกรรมเครือข่าย #yum install -y vim) เช่นเว็บไซต์ที่พยายามเข้าถึง

netstat เพื่อความเรียบง่าย

การใช้netstatและการ grepping บน PID หรือชื่อกระบวนการ:

# netstat -np --inet | grep "thunderbird"
tcp        0      0 192.168.134.142:45348   192.168.138.30:143      ESTABLISHED 16875/thunderbird
tcp        0      0 192.168.134.142:58470   192.168.138.30:443      ESTABLISHED 16875/thunderbird

และคุณสามารถใช้watchสำหรับการปรับปรุงแบบไดนามิก:

watch 'netstat -np --inet | grep "thunderbird"'

ด้วย:

• -n: แสดงที่อยู่ตัวเลขแทนการพยายามกำหนดโฮสต์สัญลักษณ์พอร์ตหรือชื่อผู้ใช้
• -p: แสดง PID และชื่อของโปรแกรมที่แต่ละซ็อกเก็ตอยู่
• --inet: แสดงซ็อกเก็ตโปรโตคอล raw, udp และ tcp เท่านั้น

strace สำหรับ verbosity

คุณบอกว่าคุณลองใช้straceเครื่องมือ แต่ลองใช้ตัวเลือกนี้trace=networkหรือไม่? โปรดทราบว่าการส่งออกสามารถ verbose ค่อนข้างดังนั้นคุณอาจต้อง grepping คุณสามารถเริ่มต้นโดย grepping ที่ "sin_addr"

 strace -f -e trace=network <your command> 2>&1 | grep sin_addr

หรือสำหรับกระบวนการที่กำลังทำงานอยู่ให้ใช้ PID:

 strace -f -e trace=network -p <PID> 2>&1 | grep sin_addr

ฉันจะสร้างใหม่namespace เครือข่ายtcpdumpสะพานไปยังเครือข่ายที่แท้จริงแล้วการตรวจสอบสะพานด้วย

sysdig ช่วยให้คุณสามารถตรวจสอบกิจกรรมทั้งหมดของเคอร์เนลหรือคำสั่งหลายคำสั่งที่ทำงานในระบบของคุณในระหว่างการเดินทางรวมถึงและไม่ จำกัด กิจกรรมเครือข่าย

เนื่องจากเอาต์พุตมีขนาดใหญ่คุณต้องสร้างตัวกรองหน้าเริ่มต้นสำหรับตัวกรองพื้นฐานส่วนใหญ่จึงเข้าใจได้ง่าย

นอกจากนี้ยังมีข้อดีคือไม่ได้ใช้เป็นตัวห่อหุ้มแอปพลิเคชันเช่นเดียวกับในstraceและสามารถมีประสิทธิภาพมาก

จากตัวอย่าง Sysdig

ระบบเครือข่าย

ดูกระบวนการสูงสุดในแง่ของการใช้แบนด์วิดท์เครือข่าย

sysdig -c topprocs_net 

แสดงข้อมูลเครือข่ายที่แลกเปลี่ยนกับโฮสต์ 192.168.0.1

เป็นไบนารี:

sysdig -s2000 -X -c echo_fds fd.cip=192.168.0.1   

เป็น ASCII:

sysdig -s2000 -A -c echo_fds fd.cip=192.168.0.1 

ดูพอร์ตเซิร์ฟเวอร์บนสุด:

ในแง่ของการเชื่อมต่อที่จัดตั้งขึ้น:

sysdig -c fdcount_by fd.sport "evt.type=accept"   

ในแง่ของจำนวนไบต์ทั้งหมด:

sysdig -c fdbytes_by fd.sport 

ดู IP ของลูกค้าอันดับต้น ๆ

ในแง่ของการเชื่อมต่อที่จัดตั้งขึ้น

sysdig -c fdcount_by fd.cip "evt.type=accept"   

ในแง่ของจำนวนไบต์ทั้งหมด

sysdig -c fdbytes_by fd.cip 

แสดงรายการการเชื่อมต่อขาเข้าทั้งหมดที่ไม่ได้ทำหน้าที่โดย apache

sysdig -p"%proc.name %fd.name" "evt.type=accept and proc.name!=httpd"

คุณสามารถใช้ wireshark เพื่อดมกลิ่นการรับส่งข้อมูลทั้งหมดของอินเทอร์เฟซเครือข่าย ในกรณีที่คุณต้องการตัวเลือกที่ไม่มี GUI คุณสามารถใช้ tshark

ด้วยตัวเลือกทั้งสองคุณสามารถดูปริมาณการใช้เครือข่ายทั้งหมดและบันทึกในภายหลังเพื่อวิเคราะห์การเชื่อมต่อทั้งหมดที่สร้างขึ้น