V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
AmrtaShiva
V2EX  ›  Linux

如何根据发现的网络链接追踪是那个进程创建的呢?

  •  
  •   AmrtaShiva · 2020-03-08 07:23:37 +08:00 · 3207 次点击
    这是一个创建于 1756 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题

    早上发现联网之后什么都没打开就好多个链接在联网  iftop -i wlan0 能看到目标网址 不知道怎么排查这些链接是那些程序创建的

    6 条回复    2020-03-08 12:44:34 +08:00
    matrix67
        1
    matrix67  
       2020-03-08 09:35:05 +08:00   ❤️ 2
    知道端口的话,lsof -i:22 能看到 pid。

    端口你可以用 netstat 或者 iftop 都看的出来的。

    如何查看 Linux 系统的带宽流量
    * 按网卡查看流量:ifstat、dstat -nf 或 sar -n DEV 1 2

    按进程查看流量:nethogs
    *
    按连接查看流量:iptraf、iftop 或 tcptrack
    *
    查看流量最大的进程:sysdig -c topprocs_net
    *
    查看流量最大的端口:sysdig -c topports_server
    *
    查看连接最多的服务器端口:sysdig -c fdbytes_by fd.sport
    sagaxu
        2
    sagaxu  
       2020-03-08 09:39:04 +08:00 via Android
    ss -anp
    AmrtaShiva
        3
    AmrtaShiva  
    OP
       2020-03-08 10:26:05 +08:00
    @matrix67 它不是一直在联网 而是断断续续的隔一段时间联一下 不好找啊
    matrix67
        4
    matrix67  
       2020-03-08 12:29:00 +08:00   ❤️ 1
    @AmrtaShiva 几种思路
    1. 一直抓包,看异常的端口号
    2. 查是否有守护进程,没有的话查 cron job 之类的。

    这个本质上就跟查后门一样的啊。
    matrix67
        5
    matrix67  
       2020-03-08 12:32:04 +08:00
    还有一种方法, 用 perf-tools,execsnoop opensnoop 之类的查查,查 syslog,装一个 auditd 查查。
    dazhangpan
        6
    dazhangpan  
       2020-03-08 12:44:34 +08:00
    ftrace 加个 kprobe 一直抓着就行了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2484 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:36 · PVG 23:36 · LAX 07:36 · JFK 10:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.