Używam gkrellm, który pokazuje, że jakiś proces w moim systemie Debian Linux zapisuje około 500 KB / s do eth0. Chciałbym dowiedzieć się, który to proces. Wiem trochę o netstat, ale pokazuje on miliard otwartych połączeń TCP i nie mogę sprawić, by generował jakiekolwiek informacje o ruchu.
Czy ktoś wie, jak mogę uzyskać listę procesów, które faktycznie używają interfejsu eth0, dzięki czemu mogę wyśledzić przestępcę?
FOLLOWUP : Dystrybucja Debian Linux zawiera nethogspakiet, który definitywnie rozwiązuje ten problem. Powiązane narzędzia, które nie są dość na znaku to iftop, netstati lsof.
linux
debian
network-monitoring
Norman Ramsey
źródło
źródło
iptrafjest dobraOdpowiedzi:
Wolę pająki . Jest to mały program konsolowy oparty na ncurses, który w wygodny sposób wyświetla stan ruchu sieciowego na proces.
źródło
netstat -ptupoda ci identyfikatory procesu będącego właścicielem (wraz ze standardowymi informacjami o netstat) dla wszystkich połączeń tcp i udp. (Zwykli użytkownicy nie będą w stanie zidentyfikować wszystkich procesów).Jeśli coś wysyła kwotę godziwą ciągłym ruchu należy je zobaczyć na
Recv-QlubSend-Qkolumny 2 i 3 odpowiednio.Przykłady:
Recv-Qsudo watch -n .1 'netstat -tup | grep -E "^[t,u]cp[6]{0,1}" | sort -nr -k2'Send-Qsudo watch -n .1 'netstat -tup | grep -E "^[t,u]cp[6]{0,1}" | sort -nr -k3'Jeśli podejrzewasz, że proces ten jest uruchamiany przez inny proces
ps axf.źródło
Bardziej ręczną operacją, jeśli szukasz tylko procesu wysyłania / odbierania danych, byłoby uruchomienie
lsofpolecenia. Spowoduje to wyświetlenie listy wszystkich otwartych plików dla każdego procesu, które będą obejmować połączenia sieciowe, ponieważ są deskryptorami plików dla systemu operacyjnegoNie jestem pewien, czy tego właśnie szukasz.
źródło
Zainstaluj
iftop(prosty tekstowy) lubntop(graficzny).źródło
iftopwyświetla tylko użycie przepustowości w interfejsie.netstat -pn.Użyj
tcpdumpdo wąchania niektórych pakietów w tym interfejsie:Skopiuj do klienta i otwórz za pomocą Wireshark, aby zobaczyć, co się stanie.
źródło