Регистрация исходящих соединений, как они происходят

Есть ли способ зарегистрировать все исходящие соединения, которые создает процесс? Я знаю об этом, netstatно, похоже, это скорее снимок момента, а не то, что запускает и регистрирует информацию за период.

Мне нужен только IP или имя хоста, порт и процесс, устанавливающий соединение.

В Linux вы можете настроить подсистему аудита для регистрации каждой попытки установить сетевое соединение. Для получения информации о подсистеме аудита, прочитать auditctlстраницу человека или этот учебник или другие примеры на этом сайте . При необходимости установите auditdпакет вашего дистрибутива , затем

auditctl -A exit,always -S connect

Журналы во /var/log/audit/audit.logвсех дистрибутивах, которые я знаю. Вы также можете искать их с ausearch.

Если вы можете установить собственное ядро, вам стоит взглянуть на SystemTap . Существует множество примеров того, как отслеживать сетевую активность.

В Linux вы можете использовать ip_conntrackдля этого. Это модуль отслеживания подключений, который обычно используется для мониторинга подключений по протоколам странного поведения (например, FTP), которые управляются брандмауэром / NAT.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Вы можете выполнить поиск псевдофайла grep для просмотра установленных подключений, а затем выполнить поиск grep исходного IP-адреса, чтобы узнать, когда он исходит из вашего ящика.

Я хотел бы посмотреть на использование tcpdumpна исходящем интерфейсе, глядя на исходящие SYNзапросы.

Если вы действительно любите приключения, вы можете создавать такие утилиты, как: straceили trussсообщать обо всех connectсистемных вызовах, отслеживая выполнение программы, но это немного более опасно и имеет недостатки при работе с многопоточными процессами.