W systemie Linux, skąd mam wiedzieć, który proces wysyła pakiety Ethernet?

Używam gkrellm, który pokazuje, że jakiś proces w moim systemie Debian Linux zapisuje około 500 KB / s do eth0. Chciałbym dowiedzieć się, który to proces. Wiem trochę o netstat, ale pokazuje on miliard otwartych połączeń TCP i nie mogę sprawić, by generował jakiekolwiek informacje o ruchu.

Czy ktoś wie, jak mogę uzyskać listę procesów, które faktycznie używają interfejsu eth0, dzięki czemu mogę wyśledzić przestępcę?

FOLLOWUP : Dystrybucja Debian Linux zawiera nethogspakiet, który definitywnie rozwiązuje ten problem. Powiązane narzędzia, które nie są dość na znaku to iftop, netstati lsof.

Wolę pająki . Jest to mały program konsolowy oparty na ncurses, który w wygodny sposób wyświetla stan ruchu sieciowego na proces.

netstat -ptupoda ci identyfikatory procesu będącego właścicielem (wraz ze standardowymi informacjami o netstat) dla wszystkich połączeń tcp i udp. (Zwykli użytkownicy nie będą w stanie zidentyfikować wszystkich procesów).

Jeśli coś wysyła kwotę godziwą ciągłym ruchu należy je zobaczyć na Recv-Qlub Send-Qkolumny 2 i 3 odpowiednio.

Przykłady:
Recv-Q
sudo watch -n .1 'netstat -tup | grep -E "^[t,u]cp[6]{0,1}" | sort -nr -k2'

Send-Q
sudo watch -n .1 'netstat -tup | grep -E "^[t,u]cp[6]{0,1}" | sort -nr -k3'

Jeśli podejrzewasz, że proces ten jest uruchamiany przez inny proces ps axf.

Bardziej ręczną operacją, jeśli szukasz tylko procesu wysyłania / odbierania danych, byłoby uruchomienie lsofpolecenia. Spowoduje to wyświetlenie listy wszystkich otwartych plików dla każdego procesu, które będą obejmować połączenia sieciowe, ponieważ są deskryptorami plików dla systemu operacyjnego

Nie jestem pewien, czy tego właśnie szukasz.

Zainstaluj iftop(prosty tekstowy) lub ntop(graficzny).

Użyj tcpdumpdo wąchania niektórych pakietów w tym interfejsie:

# tcpdump -vv -s0 -i eth0 -c 100 -w /tmp/eth0.pcap

Skopiuj do klienta i otwórz za pomocą Wireshark, aby zobaczyć, co się stanie.