Як простежити мережеву активність команди?

Я хочу простежити мережеву активність команди, я пробував tcpdump та strace без успіху.

Наприклад, якщо я встановлюю пакет або використовую будь-яку команду, яка намагається дістатись до якогось сайту, я хочу переглянути цю мережеву діяльність (сайт, на який намагаються охопити).

Я думаю, що ми можемо це зробити, використовуючи tcpdump. Я спробував, але він відстежує всю мережеву активність моєї системи. Скажімо, якщо я запускаю кілька пов'язаних з мережею команд і хочу відслідковувати лише певну діяльність в командній мережі, тоді важко знайти точне рішення.

Чи є спосіб це зробити?

ОНОВЛЕННЯ:

Я не хочу відслідковувати все, що відбувається в моєму мережевому інтерфейсі. Я просто хочу відстежити командну (наприклад, #yum install -y vim) мережеву діяльність. Наприклад, сайт, на який він намагається зайти.

netstat для простоти

Використання netstatта прив'язка до PID або імені процесу:

# netstat -np --inet | grep "thunderbird"
tcp        0      0 192.168.134.142:45348   192.168.138.30:143      ESTABLISHED 16875/thunderbird
tcp        0      0 192.168.134.142:58470   192.168.138.30:443      ESTABLISHED 16875/thunderbird

І ви можете використовувати watchдля динамічних оновлень:

watch 'netstat -np --inet | grep "thunderbird"'

З:

• -n: Показуйте числові адреси замість спроб визначення символічних імен хоста, порту чи користувача
• -p: Показати PID та назву програми, до якої належить кожен сокет.
• --inet: Показуйте лише розетки протоколу raw, udp та tcp.

страйс для багатослівності

Ви сказали, що ви спробували цей straceінструмент, але ви спробували варіант trace=network? Зауважте, що результат може бути досить багатослівним, тому вам може знадобитися певне привчання. Ви можете почати, натиснувши на "sin_addr".

 strace -f -e trace=network <your command> 2>&1 | grep sin_addr

Або для вже запущеного процесу використовуйте PID:

 strace -f -e trace=network -p <PID> 2>&1 | grep sin_addr

Я б створив новий простір імен мережі , перенести його на реальну мережу, а потім контролювати міст tcpdump.

sysdig дозволяє контролювати всю активність ядра або декількох команд, що виконуються у вашій системі під час руху, включаючи та не обмежуючись мережевою активністю.

Оскільки вихід може бути великим, вам потрібно створити фільтри, сторінка за замовчуванням для самих основних фільтрів цілком зрозуміла.

Він також має перевагу, що він не використовується як обгортка додатків, як в strace, і він може бути досить потужним.

З прикладів Сисдіга

Мережі

Дивіться основні процеси щодо використання пропускної здатності мережі

sysdig -c topprocs_net 

Показати мережеві дані, що обмінюються з хостом 192.168.0.1

Як двійкові:

sysdig -s2000 -X -c echo_fds fd.cip=192.168.0.1   

Як ASCII:

sysdig -s2000 -A -c echo_fds fd.cip=192.168.0.1 

Перегляньте головні порти локального сервера:

З точки зору встановлених зв'язків:

sysdig -c fdcount_by fd.sport "evt.type=accept"   

У перерахунку на загальний байт:

sysdig -c fdbytes_by fd.sport 

Перегляньте IP-адреси головного клієнта

З точки зору налагоджених зв’язків

sysdig -c fdcount_by fd.cip "evt.type=accept"   

У перерахунку на загальний байт

sysdig -c fdbytes_by fd.cip 

Перерахуйте всі вхідні з'єднання, які не обслуговуються apache.

sysdig -p"%proc.name %fd.name" "evt.type=accept and proc.name!=httpd"

Ви можете використовувати дротик, щоб обнюхати весь вхідний і вихідний трафік мережевого інтерфейсу. Якщо вам потрібна опція без GUI, ви можете використовувати tshark.

За допомогою обох параметрів ви можете побачити весь мережевий трафік і зберегти його, щоб згодом проаналізувати всі встановлені з'єднання.