Чем отледить сетевой траффик, который потребляет определенное приложение?

iptables?
типа скриптом вытаскивать PID и iptables -A OUTPUT -m owner --pid-owner PID

tcpdump?

2Korrvin
> --pid-owner PID
в обычных ядрах давно не поддерживается

>tcpdump?
можно подробней - как у него узнать приложение-владельца, если конечно не секрет :)

http://www.protocols.ru/modules.php?name=News&file=article&sid=109

>Соответствия для правил iptables (часть 3)
>Опубликовано 24 Oct 2005 (Mon) в 15:25:03

Помоему с 2.6.14 это не поддерживается к тому же на smp системах никогда и не работало.

atop + kernel patch

>kernel patch

Немного странно для ОС ориентированной на работу с сетью. В свое время озадачивался подобным вопросом и тоже не нашел нормального решения. Кстати atop помоему только считает трафик приложения без возможности логирования или анализа. У меня было так: какое-то приложение временами отсылало udp пакеты и зерез какое-то время приходили ответы, причем происходило спонтанно. Решилось все просто - это оказался глючный плагин от фаерфокса и он не закрывал сокет поэтому я его нашел.

Надо запускать это приложение от другого пользователя, и дальше любая гормальная считалка трафика по идее.

Что странно?
1. Есть iptables со своими счетчиками и -m owner
2. Есть куча сниферов: tcpdump, tcpflow и иже с ними для логирования и анализа.
3. Есть tcptraf, iftop для набл. за трафиком
4. atop + kernel patch для набл. за трафиком конкр. приложения

Чего не хватает?

>для ОС ориентированной на работу с сетью

кстати, Линукс не "ОС ориентированной на работу с сетью", а ОС общего назначения.

>> kernel patch

> Немного странно для ОС ориентированной на работу с сетью.

Никаких патчей не нужно.

http://nethogs.sourceforge.net/

> Кстати atop помоему только считает трафик приложения без возможности логирования или анализа.

Для логирования - iptables.

Приложение должно определенный порт юзать :) Дальше всё просто.

Это все замечательные инструменты. Обрисую ситуацию. Появился например вирус каким то образом. Он периодически пытается рассылать свои куски в сеть по протоколу udp причем все время на разные хосты при этом сеанс длится недолго и после этого он закрывает сокет. Как можно определить какое приложение поражено ? iptables с -m owner замечательно для этого подошел бы но на современных ядрах --cmd-owner и --pid-owner не поддерживаются. Можно конечно убивать по одному и смотреть когда прекратится рассылка но если заражено не одно приложение ? Логировать весь udp трафик тоже нет смысла потому что определить какое приложение является хозяином какого то пакета будет проблематично.

если вирус не шибко мудреный, спасет глобальный LD_PRELOAD с логгированием (=

Вообще можно и нетстатом не брезговать

Вообще, если у вас _заражены_приложения_, то вам вообще ничего не поможет. Только какой то руткит хантер, сверка подписей и хэшей и пр.

Ну дык, поиском тут никто не пользуется, а я про nethogs и забыл уже.

http://www.linux.org.ru/jump-message.jsp?msgid=1783053&cid=1784288
http://www.linux.org.ru/jump-message.jsp?msgid=2093339&cid=2093734

>Приложение должно определенный порт юзать :) Дальше всё просто.

Жаба может юзать любой порт :)