Ausgehende Verbindungen werden protokolliert, sobald sie auftreten

Gibt es eine Möglichkeit zum Protokollieren, um alle von einem Prozess erstellten ausgehenden Verbindungen abzulegen? Mir ist bewusst, netstataber das scheint eher eine Momentaufnahme eines Zeitpunkts zu sein als etwas, das Informationen über einen bestimmten Zeitraum ausführt und protokolliert.

Ich brauche nur die IP oder den Hostnamen, den Port und den Verbindungsaufbau.

Unter Linux können Sie das Überwachungssubsystem so einrichten, dass jeder Versuch, eine Netzwerkverbindung herzustellen, protokolliert wird. Informationen zum Überwachungssubsystem finden Sie auf der auditctlManpage oder in diesem Lernprogramm oder in anderen Beispielen auf dieser Site . Installieren Sie auditdgegebenenfalls das Paket Ihrer Distribution

auditctl -A exit,always -S connect

Die Protokolle beziehen sich /var/log/audit/audit.logauf alle mir bekannten Distributionen. Sie können auch sie suchen mit ausearch.

Wenn Sie einen benutzerdefinierten Kernel installieren können, sollten Sie sich SystemTap ansehen . Es gibt viele Beispiele für die Verfolgung der Netzwerkaktivität.

Unter Linux können Sie dazu verwenden ip_conntrack. Es handelt sich um ein Verbindungsverfolgungsmodul, das normalerweise zum Überwachen von Verbindungen auf ungewöhnlich verhaltene Protokolle (wie FTP) verwendet wird, die von einer Firewall / NAT-Box verwaltet werden.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Sie können die Pseudodatei abrufen, um hergestellte Verbindungen zu sehen, und die Quell-IP abrufen, um zu sehen, wann sie von Ihrer Box stammt.

Ich würde in die Verwendung tcpdumpauf der ausgehenden Schnittstelle schauen, die die ausgehenden SYNAnträge betrachtet.

Wenn Sie sich wirklich abenteuerlustig fühlen, können Sie Dienstprogramme erstellen wie: straceoder trussalle connectSystemaufrufe melden , während Sie die Ausführung des Programms nachverfolgen. Dies ist jedoch etwas gefährlicher und hat Nachteile beim Umgang mit Multithread-Prozessen.