Tampilkan koneksi jaringan dari suatu proses

Ada cara untuk menunjukkan koneksi dari suatu proses? Sesuatu seperti itu:

show PID

di mana showadalah perintah untuk melakukan ini, dan PIDmerupakan pid dari proses. Output yang saya inginkan terdiri dari semua koneksi proses (secara real-time). Misalnya, jika proses mencoba menghubungkan ke 173.194.112.151 hasilnya adalah 173.194.112.151.

Contoh yang lebih spesifik dengan Firefox:

show `pidof firefox`

dan dengan firefox saya mulai pada awalnya di google.com , kemudian di unix.stackexchange.com dan akhirnya 192.30.252.129 . Outputnya, ketika saya menutup browser, harus:

google.com
stackexchange.com
192.30.252.129

(Tentunya dengan browser output ini tidak realistis, karena ada banyak koneksi lain yang terkait, tetapi ini hanya sebuah contoh.)

Anda sedang mencari strace! Saya menemukan jawaban ini di askubuntu , tetapi ini valid untuk Unix:

Untuk memulai dan memantau proses baru:

strace -f -e trace=network -s 10000 PROCESS ARGUMENTS

Untuk memantau proses yang ada dengan PID yang dikenal:

strace -p $PID -f -e trace=network -s 10000

Jika tidak, tetapi itu khusus untuk Linux, Anda dapat menjalankan proses di namespace jaringan yang terisolasi dan menggunakan wireshark untuk memantau lalu lintas . Ini mungkin akan lebih nyaman daripada membaca stracelog:

• buat namespace jaringan uji:

  ip netns add test
  

• buat sepasang antarmuka jaringan virtual (veth-a dan veth-b):

  ip link add veth-a type veth peer name veth-b
  

• ubah namespace aktif dari antarmuka veth-a:

  ip link set veth-a netns test
  

• konfigurasikan alamat IP dari antarmuka virtual:

  ip netns exec test ifconfig veth-a up 192.168.163.1 netmask 255.255.255.0
  ifconfig veth-b up 192.168.163.254 netmask 255.255.255.0
  

• konfigurasikan perutean dalam namespace tes:

  ip netns exec test route add default gw 192.168.163.254 dev veth-a
  

• aktifkan ip_forward dan buat aturan NAT untuk meneruskan lalu lintas yang datang dari namespace yang Anda buat (Anda harus menyesuaikan antarmuka jaringan dan alamat ip SNAT):

  echo 1 > /proc/sys/net/ipv4/ip_forward
  iptables -t nat -A POSTROUTING -s 192.168.163.0/24 -o YOURNETWORKINTERFACE -j SNAT --to-source YOURIPADDRESS
  

  (Anda juga dapat menggunakan aturan MASQUERADE jika Anda mau)

• akhirnya, Anda bisa menjalankan proses yang ingin Anda analisis di namespace baru, dan wireshark juga:

  ip netns exec test thebinarytotest
  ip netns exec test wireshark
  

  Anda harus memantau antarmuka veth-a.

Mencoba

lsof -i -a -p `pidof firefox`

Inilah pendekatan lain:

ss -nap | grep $(pidof firefox)

Output sampel:

tcp    ESTAB      0      0          192.168.0.222:49050    216.58.218.164:443    users:(("firefox",3280,69))
tcp    ESTAB      0      0          192.168.0.222:48630    198.252.206.25:443    users:(("firefox",3280,106))
tcp    ESTAB      0      0          192.168.0.222:44220     216.58.217.38:443    users:(("firefox",3280,140))
tcp    ESTAB      0      0          192.168.0.222:52690    54.240.170.181:80     users:(("firefox",3280,107))
tcp    ESTAB      0      0          192.168.0.222:48744    198.252.206.25:443    users:(("firefox",3280,87))
tcp    ESTAB      0      0          192.168.0.222:48811    198.252.206.25:443    users:(("firefox",3280,73))

Anda bisa coba juga dengan netstat -p. Dari halaman manual:

netstat - Mencetak koneksi jaringan, tabel perutean, statistik antarmuka, koneksi menyamar, dan keanggotaan multicast

Untuk hanya menampilkan koneksi jaringan gunakan netstat -tup. Perhatikan bahwa untuk melihat proses PID Anda mungkin perlu root.

Jika Anda tidak memiliki netstatpada sistem Anda, Anda mungkin memiliki ss, yang hampir memiliki sintaks yang tepat. Anda dapat menggunakannya ss -tup(sebagai root).