Поиск периодического соединения с помощью netstat

0

2

У меня на Линуксе установлено приложение, которое с определенной периодичностью связывается с каким-то внешним сервером и отсылает ему какие-то данные, возможно, телеметрию.

К сожалению, это все, что я знаю, даже периодичность транзакций неизвестна. Предположительно один раз в час.

Поэтому, конечно, хотелось бы знать - с каким сервером и по каким портам оно соединяется?

Попытался использовать для этого могучую утилиту netstat, но она такая мощная, что за полдня так и не разобрался с ее многочисленными ключиками.

Может, знатоки подскажут, какие ключики нужны для этого?
Или может, есть более подходящая для этого случая утилита...

Да, еще известно, что эта транзакция молниеносная, поэтому даже если непрерывно пялиться на экран с запущенным

netstat -ntpl

ничего не даст.

Ссылка

←	Добавить в 389server второй directory manager

Проблемы с загрузкой NextCloud после обновления CentOs

→

Да, еще известно, что эта транзакция молниеносная,

тогда tcpdump \ tshark \ wireshark \ ngrep в помощь. В общем, любой сниффер.

А, еще strace'ом можно отследить вызовы конкретного приложения.

Bers666 ★★★★★
(06.08.21 18:11:45 MSK)
Последнее исправление: Bers666 06.08.21 18:13:05 MSK (всего исправлений: 2)

Ответ на: комментарий от Bers666 06.08.21 18:11:45 MSK

Значит, netstat, насколько понял из советов, действительно не очень подходит для данной задачки?

О сниферах в курсе, но в потоке, который они вылавливают, наверное, мне будет еще труднее разобраться.

Ок, пощупаю еще strace, что оно такое. Спасибо!

chukcha ★★★★★
(06.08.21 18:24:33 MSK) автор топика

Ответ на: комментарий от chukcha 06.08.21 18:24:33 MSK

О сниферах в курсе, но в потоке, который они вылавливают, наверное, мне будет еще труднее разобраться.

нуу, фильтры можно настроить.

еще идея, посылать в syslog все новые соединения от этого приложения. Для этого его надо или запустить от отдельного юзера, или поместить в cgroup. Тогда: iptables -j LOG.

Bers666 ★★★★★
(06.08.21 18:35:22 MSK)

Ссылка

У меня на Линуксе установлено приложение

Из этого я делаю 2 вывода(поправь если это не так):

1) ты знаешь имя бинарника запускаемого приложения;
2) ты знаешь пользователя, под которым оно запускается.

Если всё так, тогда для первого случая можно использовать strace, как уже посоветовали выше. Да, придется поплясать с фильтрами, но вариант вполне рабочий.

Для второго варианта - через критерий(-m) owner в iptables можно отсеять все исходящие пакеты приложений, запущенных из под определенного пользователя. А target(-j) LOG позволит записать эту активность. Как запустить только своё приложение от другого пользователя я думаю ты сам разберешься.

Update: тред не читай, сразу отвечай - iptables с нужными критериями(и даже более гибким вариантом через cgroup) уже посоветовали.

Pinkbyte ★★★★★
(06.08.21 19:10:51 MSK)
Последнее исправление: Pinkbyte 06.08.21 19:12:17 MSK (всего исправлений: 2)

Если ты не знаешь, что это за приложение, то надо отследить, как оно попало на твою систему, и после этого закрыть дыру. Очевидно же.

unicorne ★
(06.08.21 20:10:41 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 06.08.21 19:10:51 MSK

Приложение вполне легальное, я его сам установил :-)
Поэтому знаю и бинарник, и пользователя, под которым оно запускается.

И у меня есть жгучее желание - перенаправить телеметрию, вернее, статистику, которую оно куда-то отсылает, на свой собственный сервер.
Который смогу соорудить (с чей-то помощью, конечно), если удастся разобраться, что и куда сейчас отсылается.

PS. Для наглядного примера: Фурифокс позволяет сделать синхронизацию юзерских аков через их сервер, а можно и свой такой сервер поднять.
Это только похожий пример, не более.

chukcha ★★★★★
(06.08.21 21:32:36 MSK) автор топика