Визначте "Професійний" Інтернет, що отримує доступ до Програми

На даний момент у мене є додаток / послуга / віджет / плагін / cronjob що завгодно, регулярно відвідую Інтернет. Я міг би розібратися в деталях мого конкретного питання, але я скоріше маю відповідь, яка дозволить мені винуватий знайти себе, і в процесі дізнаюсь більше про Ubuntu.

dnstopНа даний момент я використовую для відображення всіх запитів DNS, які надходять у мою мережу. Наразі заради аргументів є запит, який триває weather.noaa.gov15-хвилинний цикл. Це, мабуть, погодний віджет, хоча я перевірив свої процеси і нічого не знайшов, і запит надходить з мого комп'ютера.

Отже, питання, як я можу визначити, до якого процесу здійснюється доступ weather.noaa.gov?

Я не хочу проходити процес елімінації, вимикаючи кожну службу / плагін / програму, щоб зрозуміти це. Я хотів би знайти спосіб визначити, який процес робить цей запит DNS.

Якби у мене був гідний «Брандмауер програми», запит ніколи не був би зроблений. Але це сценарій "коня вже підкрутили" і хотілося б знайти той "шахрайський" процес, який створює цей запит DNS.

Якщо ви не заперечуєте, щоб якийсь час працював нескінченний цикл, ви можете безперервно запускати netstat і фільтрувати висновок за IP-адресою комп'ютера, до якого підключається ваша програма. Я пропоную використовувати IP-адреси замість доменних імен, оскільки це набагато швидше, скорочується час кожного виклику netstat і, таким чином, збільшуються шанси фактично зафіксувати процес. Ви повинні запустити команду netstat як root, якщо ви думаєте, що процес не належить користувачеві, який наразі увійшов у систему. Отже, спочатку використовуйте nslookup, щоб визначити IP домену:

nslookup weather.noaa.gov

Для мене це дає на даний момент: 193.170.140.70 та 193.170.140.80. Тепер ви можете встановити нескінченну петлю нестатистів. Вихід, який ви можете фільтрувати за допомогою grep (і відкинути STDERR).

while [ true ] ;  do netstat -tunp 2>/dev/null | grep -e 193.170.140.70 -e 193.170.140.80  ; done

Звичайно, відредагуйте IP-адреси у наведеному вище прикладі. Цей приклад є зондуванням для підключень TCP та UDP (-tu), не робить роздільну здатність DNS (-n) та перераховує процеси (-p). Якщо ви думаєте, що достатньо часу для вирішення DNS, просто пропустіть опцію -n для netstat і поставте домен для grep замість IP. Ви можете зупинити нескінченний цикл, просто натиснувши CTRL + c

Сподіваюся, це допоможе, Андреас

PS: Я знаю, це не ідеальний, ефективний чи чистий спосіб зробити це, але для одноразового пошуку цього повинно бути достатньо.

Ви також можете "зламати" додаток через / etc / hosts, додавши FQDN, до якого підключено. Надайте йому деякий IP-код без маршрутизації, як-от 10.1.2.3 (або 127.0.0.1), і подивіться, що порушується.