Mostra le connessioni di rete di un processo

C'è un modo per mostrare le connessioni di un processo? Qualcosa del genere:

show PID

in cui showè un comando per fare questo, ed PIDè il pid del processo. L'output che desidero è composto da tutte le connessioni del processo (in tempo reale). Ad esempio, se il processo tenta di connettersi a 173.194.112.151, l'output è 173.194.112.151.

Un esempio più specifico con Firefox:

show `pidof firefox`

e con firefox vado prima su google.com , poi su unix.stackexchange.com e infine su 192.30.252.129 . L'output, quando chiudo il browser, deve essere:

google.com
stackexchange.com
192.30.252.129

(Ovviamente con il browser questo output non è realistico, perché ci sono molte altre connessioni correlate, ma questo è solo un esempio.)

Stai cercando strace! Ho trovato questa risposta su askubuntu , ma è valida per Unix:

Per avviare e monitorare un nuovo processo:

strace -f -e trace=network -s 10000 PROCESS ARGUMENTS

Per monitorare un processo esistente con un PID noto:

strace -p $PID -f -e trace=network -s 10000

Altrimenti, ma questo è specifico per Linux, è possibile eseguire il processo in uno spazio dei nomi di rete isolato e utilizzare WireShark per monitorare il traffico . Questo sarà probabilmente più conveniente della lettura del straceregistro:

• creare uno spazio dei nomi di rete di prova:

  ip netns add test
  

• creare una coppia di interfacce di rete virtuale (veth-a e veth-b):

  ip link add veth-a type veth peer name veth-b
  

• cambia lo spazio dei nomi attivo dell'interfaccia veth-a:

  ip link set veth-a netns test
  

• configurare gli indirizzi IP delle interfacce virtuali:

  ip netns exec test ifconfig veth-a up 192.168.163.1 netmask 255.255.255.0
  ifconfig veth-b up 192.168.163.254 netmask 255.255.255.0
  

• configurare il routing nello spazio dei nomi del test:

  ip netns exec test route add default gw 192.168.163.254 dev veth-a
  

• attiva ip_forward e stabilisci una regola NAT per inoltrare il traffico proveniente dallo spazio dei nomi che hai creato (devi regolare l'interfaccia di rete e l'indirizzo IP SNAT):

  echo 1 > /proc/sys/net/ipv4/ip_forward
  iptables -t nat -A POSTROUTING -s 192.168.163.0/24 -o YOURNETWORKINTERFACE -j SNAT --to-source YOURIPADDRESS
  

  (Puoi anche usare la regola MASQUERADE se preferisci)

• infine, puoi eseguire il processo che desideri analizzare nel nuovo spazio dei nomi, e WireShark:

  ip netns exec test thebinarytotest
  ip netns exec test wireshark
  

  Dovrai monitorare l'interfaccia veth-a.

Provare

lsof -i -a -p `pidof firefox`

Ecco un altro approccio:

ss -nap | grep $(pidof firefox)

Uscita campione:

tcp    ESTAB      0      0          192.168.0.222:49050    216.58.218.164:443    users:(("firefox",3280,69))
tcp    ESTAB      0      0          192.168.0.222:48630    198.252.206.25:443    users:(("firefox",3280,106))
tcp    ESTAB      0      0          192.168.0.222:44220     216.58.217.38:443    users:(("firefox",3280,140))
tcp    ESTAB      0      0          192.168.0.222:52690    54.240.170.181:80     users:(("firefox",3280,107))
tcp    ESTAB      0      0          192.168.0.222:48744    198.252.206.25:443    users:(("firefox",3280,87))
tcp    ESTAB      0      0          192.168.0.222:48811    198.252.206.25:443    users:(("firefox",3280,73))

Puoi provare anche con netstat -p. Dalla pagina man:

netstat - Stampa connessioni di rete, tabelle di routing, statistiche di interfaccia, connessioni mascherate e appartenenze multicast

Per mostrare solo le connessioni di rete utilizzare netstat -tup. Si noti che per visualizzare il PID del processo potrebbe essere necessario essere root.

Se non hai netstatsul tuo sistema potresti avere ss, che ha quasi la sintassi esatta. È possibile utilizzare quindi ss -tup(come root).