Mostrar conexões de rede de um processo

Existe uma maneira de mostrar as conexões de um processo? Algo parecido:

show PID

em que showhá um comando para fazer isso e PIDé o pid do processo. A saída que eu quero é composta por toda a conexão do processo (em tempo real). Por exemplo, se o processo tentar se conectar a 173.194.112.151, a saída será 173.194.112.151.

Um exemplo mais específico com o Firefox:

show `pidof firefox`

e com o firefox eu vou primeiro no google.com , depois no unix.stackexchange.com e finalmente no 192.30.252.129 . A saída, quando fecho o navegador, deve ser:

google.com
stackexchange.com
192.30.252.129

(Obviamente, com o navegador, essa saída não é realista, porque existem muitas outras conexões relacionadas, mas este é apenas um exemplo.)

Você está procurando strace! Encontrei esta resposta no askubuntu , mas é válida para o Unix:

Para iniciar e monitorar um novo processo:

strace -f -e trace=network -s 10000 PROCESS ARGUMENTS

Para monitorar um processo existente com um PID conhecido:

strace -p $PID -f -e trace=network -s 10000

Caso contrário, mas isso é específico do Linux, você pode executar o processo em um namespace de rede isolado e usar o wireshark para monitorar o tráfego . Provavelmente será mais conveniente do que ler o stracelog:

• crie um espaço para nome da rede de teste:

  ip netns add test
  

• crie um par de interfaces de rede virtual (veth-a e veth-b):

  ip link add veth-a type veth peer name veth-b
  

• altere o espaço para nome ativo da interface veth-a:

  ip link set veth-a netns test
  

• configure os endereços IP das interfaces virtuais:

  ip netns exec test ifconfig veth-a up 192.168.163.1 netmask 255.255.255.0
  ifconfig veth-b up 192.168.163.254 netmask 255.255.255.0
  

• configure o roteamento no namespace de teste:

  ip netns exec test route add default gw 192.168.163.254 dev veth-a
  

• ative ip_forward e estabeleça uma regra NAT para encaminhar o tráfego proveniente do namespace que você criou (você deve ajustar a interface de rede e o endereço IP SNAT):

  echo 1 > /proc/sys/net/ipv4/ip_forward
  iptables -t nat -A POSTROUTING -s 192.168.163.0/24 -o YOURNETWORKINTERFACE -j SNAT --to-source YOURIPADDRESS
  

  (Você também pode usar a regra MASQUERADE, se preferir)

• finalmente, você pode executar o processo que deseja analisar no novo espaço para nome e o wireshark também:

  ip netns exec test thebinarytotest
  ip netns exec test wireshark
  

  Você terá que monitorar a interface veth-a.

Experimentar

lsof -i -a -p `pidof firefox`

Aqui está outra abordagem:

ss -nap | grep $(pidof firefox)

Saída de amostra:

tcp    ESTAB      0      0          192.168.0.222:49050    216.58.218.164:443    users:(("firefox",3280,69))
tcp    ESTAB      0      0          192.168.0.222:48630    198.252.206.25:443    users:(("firefox",3280,106))
tcp    ESTAB      0      0          192.168.0.222:44220     216.58.217.38:443    users:(("firefox",3280,140))
tcp    ESTAB      0      0          192.168.0.222:52690    54.240.170.181:80     users:(("firefox",3280,107))
tcp    ESTAB      0      0          192.168.0.222:48744    198.252.206.25:443    users:(("firefox",3280,87))
tcp    ESTAB      0      0          192.168.0.222:48811    198.252.206.25:443    users:(("firefox",3280,73))

Você pode tentar também com netstat -p. Na página do manual:

netstat - Imprima conexões de rede, tabelas de roteamento, estatísticas de interface, conexões mascaradas e associações multicast

Para mostrar apenas as conexões de rede, use netstat -tup. Observe que, para ver o processo PID, você pode precisar ser root.

Se você não possui netstatem seu sistema, pode ter ss, que possui quase a sintaxe exata. Você pode usar então ss -tup(como root).