Чем отледить сетевой траффик, который потребляет определенное приложение?

0

0

сабж

Ссылка

← установка дополнений к iceweasel

информация по написанию жаббер-ботов для конференций →

iptables?
типа скриптом вытаскивать PID и iptables -A OUTPUT -m owner --pid-owner PID

Korrvin
(25.08.08 00:05:53 MSK)

Ссылка

tcpdump?

~~amoralyrr~~ ★☆
(25.08.08 01:28:21 MSK)

Ответ на: комментарий от amoralyrr 25.08.08 01:28:21 MSK

2Korrvin
> --pid-owner PID
в обычных ядрах давно не поддерживается

>tcpdump?
можно подробней - как у него узнать приложение-владельца, если конечно не секрет :)

koTuk ☆
(25.08.08 01:50:06 MSK)

Ответ на: комментарий от koTuk 25.08.08 01:50:06 MSK

http://www.protocols.ru/modules.php?name=News&file=article&sid=109

Korrvin
(25.08.08 02:35:46 MSK)

Ответ на: комментарий от Korrvin 25.08.08 02:35:46 MSK

>Соответствия для правил iptables (часть 3)
>Опубликовано 24 Oct 2005 (Mon) в 15:25:03

Помоему с 2.6.14 это не поддерживается к тому же на smp системах никогда и не работало.

koTuk ☆
(25.08.08 02:49:02 MSK)

Ссылка

atop + kernel patch

~~sdio~~ ★★★★★
(25.08.08 08:39:18 MSK)

Ответ на: комментарий от sdio 25.08.08 08:39:18 MSK

>kernel patch

Немного странно для ОС ориентированной на работу с сетью. В свое время озадачивался подобным вопросом и тоже не нашел нормального решения. Кстати atop помоему только считает трафик приложения без возможности логирования или анализа. У меня было так: какое-то приложение временами отсылало udp пакеты и зерез какое-то время приходили ответы, причем происходило спонтанно. Решилось все просто - это оказался глючный плагин от фаерфокса и он не закрывал сокет поэтому я его нашел.

koTuk ☆
(25.08.08 10:43:46 MSK)

Надо запускать это приложение от другого пользователя, и дальше любая гормальная считалка трафика по идее.

anonymous
(25.08.08 10:56:02 MSK)

Ссылка

Ответ на: комментарий от koTuk 25.08.08 10:43:46 MSK

Что странно?
1. Есть iptables со своими счетчиками и -m owner
2. Есть куча сниферов: tcpdump, tcpflow и иже с ними для логирования и анализа.
3. Есть tcptraf, iftop для набл. за трафиком
4. atop + kernel patch для набл. за трафиком конкр. приложения

Чего не хватает?

~~sdio~~ ★★★★★
(25.08.08 11:31:48 MSK)

Ссылка

Ответ на: комментарий от koTuk 25.08.08 10:43:46 MSK

>для ОС ориентированной на работу с сетью

кстати, Линукс не "ОС ориентированной на работу с сетью", а ОС общего назначения.

~~sdio~~ ★★★★★
(25.08.08 11:32:35 MSK)

Ссылка

Ответ на: комментарий от koTuk 25.08.08 10:43:46 MSK

>> kernel patch

> Немного странно для ОС ориентированной на работу с сетью.

Никаких патчей не нужно.

http://nethogs.sourceforge.net/

> Кстати atop помоему только считает трафик приложения без возможности логирования или анализа.

Для логирования - iptables.

anonymous
(25.08.08 11:39:41 MSK)

Приложение должно определенный порт юзать :) Дальше всё просто.

Komintern ★★★★★
(25.08.08 12:41:00 MSK)

Ответ на: комментарий от anonymous 25.08.08 11:39:41 MSK

Это все замечательные инструменты. Обрисую ситуацию. Появился например вирус каким то образом. Он периодически пытается рассылать свои куски в сеть по протоколу udp причем все время на разные хосты при этом сеанс длится недолго и после этого он закрывает сокет. Как можно определить какое приложение поражено ? iptables с -m owner замечательно для этого подошел бы но на современных ядрах --cmd-owner и --pid-owner не поддерживаются. Можно конечно убивать по одному и смотреть когда прекратится рассылка но если заражено не одно приложение ? Логировать весь udp трафик тоже нет смысла потому что определить какое приложение является хозяином какого то пакета будет проблематично.

koTuk ☆
(25.08.08 12:56:48 MSK)