在Linux上，有沒有辦法記錄程式嘗試通訊的連接埠？

Question 1

你可以嘗試 strace：

strace -e trace=connect your_program with arguments

這是一個範例輸出：

$ strace -e trace=connect ssh somehost -p 8081
connect(3, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
connect(3, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
connect(3, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
connect(3, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
connect(3, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("127.0.1.1")}, 16) = 0
connect(3, {sa_family=AF_INET, sin_port=htons(8081), sin_addr=inet_addr(<host ip address>)}, 16) = 0
connect(4, {sa_family=AF_LOCAL, sun_path="/run/user/1000/keyring/ssh"}, 110) = 0

您需要的線路是帶有sa_family=AF_INET.

Answer

你可以嘗試 strace：

strace -e trace=connect your_program with arguments

這是一個範例輸出：

$ strace -e trace=connect ssh somehost -p 8081
connect(3, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
connect(3, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
connect(3, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
connect(3, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
connect(3, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("127.0.1.1")}, 16) = 0
connect(3, {sa_family=AF_INET, sin_port=htons(8081), sin_addr=inet_addr(<host ip address>)}, 16) = 0
connect(4, {sa_family=AF_LOCAL, sun_path="/run/user/1000/keyring/ssh"}, 110) = 0

您需要的線路是帶有sa_family=AF_INET.

Question 2

您可以設定 iptables 規則來記錄流量，並準確查看執行給定程式時發送的流量。這在繁忙的系統上效果不佳，因為它實際上並沒有告訴您哪個程式發送了哪個流量，但在輕負載的情況下，您應該能夠將發生的情況拼湊起來。

輸入和輸出範例：

iptables -A INPUT -j LOG --log-prefix "INPUT:DROP:" --log-level 6
iptables -A INPUT -j DROP
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT:DROP:" --log-level 6
iptables -A OUTPUT -j DROP

如果您也想變得更複雜，還有更多選項和功能。

Answer

您可以設定 iptables 規則來記錄流量，並準確查看執行給定程式時發送的流量。這在繁忙的系統上效果不佳，因為它實際上並沒有告訴您哪個程式發送了哪個流量，但在輕負載的情況下，您應該能夠將發生的情況拼湊起來。

輸入和輸出範例：

iptables -A INPUT -j LOG --log-prefix "INPUT:DROP:" --log-level 6
iptables -A INPUT -j DROP
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT:DROP:" --log-level 6
iptables -A OUTPUT -j DROP

如果您也想變得更複雜，還有更多選項和功能。

在Linux上，有沒有辦法記錄程式嘗試通訊的連接埠？

答案1

答案2

相關內容