如何跟踪命令的网络活动？

我想跟踪命令的网络活动，我尝试了tcpdump和strace失败。

例如，如果我要安装软件包或使用任何尝试访问某个站点的命令，则要查看该网络活动（它尝试访问的站点）。

我想我们可以使用tcpdump做到这一点。我尝试过，但是它正在跟踪系统的所有网络活动。假设如果我运行多个与网络相关的命令，并且只想跟踪特定的命令网络活动，那么很难找到确切的解决方案。

有没有办法做到这一点？

更新：

我不想跟踪网络接口上的所有内容。我只想跟踪命令（例如#yum install -y vim）的网络活动。例如它尝试到达的站点。

netstat为简单起见

netstat在PID或进程名称上使用和grepping：

# netstat -np --inet | grep "thunderbird"
tcp        0      0 192.168.134.142:45348   192.168.138.30:143      ESTABLISHED 16875/thunderbird
tcp        0      0 192.168.134.142:58470   192.168.138.30:443      ESTABLISHED 16875/thunderbird

您可以使用watch动态更新：

watch 'netstat -np --inet | grep "thunderbird"'

带有：

• -n：显示数字地址，而不是尝试确定符号主机，端口或用户名
• -p：显示每个套接字所属的程序的PID和名称。
• --inet：仅显示原始，udp和tcp协议套接字。

冗长的痕迹

您说您尝试过该strace工具，但您尝试过该选项trace=network吗？请注意，输出可能非常冗长，因此您可能需要进行grepping。您可以先在“ sin_addr”上grepping。

 strace -f -e trace=network <your command> 2>&1 | grep sin_addr

或者，对于已经运行的进程，请使用PID：

 strace -f -e trace=network -p <PID> 2>&1 | grep sin_addr

我将创建一个新的网络名称空间，将其桥接到真实网络，然后使用监视桥接tcpdump。

sysdig 使您可以随时监视内核或系统中运行的多个命令的所有活动，包括但不限于网络活动。

由于输出可能很大，因此您必须构建过滤器，最基本的过滤器的默认页面是可以理解的。

它还具有不像一样不用作应用程序包装的优点strace，并且功能非常强大。

从Sysdig示例

联网

请参阅网络带宽使用情况中的顶级流程

sysdig -c topprocs_net 

显示与主机192.168.0.1交换的网络数据

作为二进制：

sysdig -s2000 -X -c echo_fds fd.cip=192.168.0.1   

作为ASCII：

sysdig -s2000 -A -c echo_fds fd.cip=192.168.0.1 

请参阅顶部的本地服务器端口：

就已建立的连接而言：

sysdig -c fdcount_by fd.sport "evt.type=accept"   

在总字节数方面：

sysdig -c fdbytes_by fd.sport 

查看顶级客户端IP

就已建立的联系而言

sysdig -c fdcount_by fd.cip "evt.type=accept"   

在总字节数方面

sysdig -c fdbytes_by fd.cip 

列出apache不服务的所有传入连接。

sysdig -p"%proc.name %fd.name" "evt.type=accept and proc.name!=httpd"

您可以使用wireshark嗅探网络接口的所有输入和输出流量。如果您需要不带GUI的选项，则可以使用tshark。

使用这两个选项，您可以查看所有网络流量并保存，以供日后分析所有已建立的连接。