Rejestrowanie połączeń wychodzących, gdy się zdarzają

Czy istnieje sposób, aby zalogować się do pliku wszystkich połączeń wychodzących, które tworzy proces? Wiem o netstattym, ale wydaje się, że jest to raczej migawka z jakiegoś punktu w czasie, a nie coś, co uruchamia i rejestruje informacje przez pewien okres.

Potrzebuję tylko adresu IP lub nazwy hosta, portu i procesu nawiązywania połączenia.

W systemie Linux można skonfigurować podsystem kontroli, aby rejestrował każdą próbę nawiązania połączenia sieciowego. Aby uzyskać informacje na temat podsystemu kontroli, przeczytaj auditctlstronę podręcznika man lub ten samouczek lub inne przykłady na tej stronie . W auditdrazie potrzeby zainstaluj pakiet dystrybucji

auditctl -A exit,always -S connect

Dzienniki znajdują się we /var/log/audit/audit.logwszystkich znanych mi dystrybucjach. Możesz je również przeszukiwać za pomocą ausearch.

Jeśli możesz zainstalować niestandardowe jądro, powinieneś spojrzeć na SystemTap . Istnieje wiele przykładów śledzenia aktywności w sieci.

W systemie Linux możesz ip_conntracktego dokonać. Jest to moduł śledzenia połączeń, zwykle używany do monitorowania połączeń pod kątem dziwnie zachowujących się protokołów (takich jak FTP) zarządzanych przez zaporę ogniową / NAT.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Możesz grepować pseudoplik, aby zobaczyć ustanowione połączenia, a następnie grep źródłowy adres IP, aby zobaczyć, kiedy pochodzi on z twojego urządzenia.

Chciałbym rozważyć użycie tcpdumpinterfejsu wychodzącego, patrząc na SYNżądania wychodzące .

Jeśli czujesz się naprawdę ryzykowny, możesz zrobić narzędzia takie jak: stracelub trusszgłosić wszystkie connectwywołania systemowe podczas śledzenia wykonania programu, ale jest to nieco bardziej niebezpieczne i ma wady w przypadku procesów wielowątkowych.