前言

甘泉ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18980820575（備注：SSL證書合作）期待與您的合作！

linux都有相應(yīng)開源工具實時采集網(wǎng)絡(luò)連接、進程等信息其中網(wǎng)絡(luò)連接一般包括最基本的五元組信息(源地址、目標(biāo)地址、源端口、目標(biāo)端口、協(xié)議號)再加上所屬進程信息pid, exe, cmdline)等。其中這兩項數(shù)據(jù)大多可直接讀取linux /proc目錄下的網(wǎng)絡(luò)狀態(tài)連接文件/proc/net/tcp、/proc/net/udp), 進程狀態(tài)目錄(/proc/pid/xx) 。

在某些應(yīng)用安全場景需要結(jié)合進程網(wǎng)絡(luò)連接、流入流出流量等數(shù)據(jù)可分析出是否在內(nèi)網(wǎng)存在惡意外傳敏感數(shù)據(jù)現(xiàn)象在網(wǎng)絡(luò)監(jiān)控 時發(fā)現(xiàn) 服務(wù)器大量帶寬被占用但不清楚由系統(tǒng)具體哪個進程占用 。為此都需要獲取到更細粒度的進程級網(wǎng)絡(luò)流量數(shù)據(jù)綜合分析。

在linux proc目錄下可查到主機級網(wǎng)絡(luò)數(shù)據(jù)，例如/proc/net/snmp提供了主機各層IP、ICMP、ICMPMsg、TCP、UDP詳細數(shù)據(jù)，/proc/net/netstat 文件 InBcastPkts、 OutBcastPkts、InOctets、OutOctets字段表示主機的收發(fā)包數(shù)、收包字節(jié)數(shù)據(jù)。很可惜沒有 進程級流入流出網(wǎng)絡(luò)流量數(shù)據(jù)。

為此參考nethogs原理實現(xiàn)統(tǒng)計進程級網(wǎng)絡(luò)流量方式。

基本數(shù)據(jù)

涉及proc以下幾個目錄或文件網(wǎng)絡(luò)狀態(tài)文件/proc/net/tcp、/proc/net/udp, 進程文件描述符目錄/proc/pid/fd。

網(wǎng)絡(luò)狀態(tài)文件/proc/net/tcp

我們重點關(guān)注五元組+狀態(tài)+inode號分別在第2、3、4、11列

其中第23列分別是主機字節(jié)序ip:port ，例如”0500000A:0016″ -> “10.0.0.5″, 22

第4列是狀態(tài)信息狀態(tài)字段含義如下：

“01″: “ESTABLISHED”,
“02″: “SYN_SENT”,
“03″: “SYN_RECV”,
“04″: “FIN_WAIT1″,
“05″: “FIN_WAIT2″,
“06″: “TIME_WAIT”,
“07″: “CLOSE”,
“08″: “CLOSE_WAIT”,
“09″: “LAST_ACK”,
“0A”: “LISTEN”,
“0B”: “CLOSING”

第11列是inode號 linux系統(tǒng)文件系統(tǒng)中的一個文件系統(tǒng)對象包括文件、目錄、設(shè)備文件、socket、管道等的元信息。

進程文件描述符

/proc/pid/fd目錄下列出當(dāng)前進程打開的文件信息其中0、1、2表示標(biāo)準(zhǔn)輸入、輸出、錯誤。

網(wǎng)絡(luò)連接是以socket:開頭的文件描述符，其中[]號內(nèi)的是inode號這樣與網(wǎng)絡(luò)狀態(tài)文件/proc/net/tcp下的inode號可對應(yīng)起來

以pid:25133進程為例, 文件描述符是10、12 對應(yīng)inode號分別是512505532、512473483的網(wǎng)絡(luò)連接，同時在下圖中的/proc/net/tcp都可以查找到對應(yīng)連接的詳細信息。

根據(jù)上述文件信息可以從/proc/net/tcp建立起網(wǎng)絡(luò)連接五元組->inode的映射, 而 /proc/pid/fd建立起連接inode ->進程的映射。

這樣 通過inode號作為橋梁關(guān)聯(lián)起系統(tǒng)內(nèi)的進程與網(wǎng)絡(luò)連接的信息。

實現(xiàn)流程

為了實時獲取網(wǎng)絡(luò)連接流量在linux主機上使用開源libpcap庫來抓取網(wǎng)絡(luò)報文。整個實現(xiàn)流程圖如下包含以下5個關(guān)鍵步驟。

抓包

使用抓包Libpcap庫獲取到網(wǎng)絡(luò)packet結(jié)構(gòu)。

解析報文

解析出packet的五元組(源地址、目標(biāo)地址、源端口、目標(biāo)端口、協(xié)議號)信息和當(dāng)前包的流量大小。

緩存更新

在ConnInodeHash查找五元組組成的key對應(yīng)的inode號如果不存在重新讀取/proc/net/tcp與udp刷新ConnInodeHash緩存建立起連接與inode的映射并重新讀取/proc/pid/fd目錄對所有文件描述符遍歷過濾出以socket:開頭的連接刷新InodeProcessHash緩存重新建立inode與進程的映射。

hash查找

根據(jù)查找到inode號在InodeProcessHash查找相應(yīng)進程pid。

統(tǒng)計流量

根據(jù)報文地址，判斷網(wǎng)絡(luò)連接方向，累加進程流入、流出數(shù)據(jù)。

總結(jié)

對linux主機抓包，結(jié)合網(wǎng)絡(luò)狀態(tài)文件、進程文件描述符實現(xiàn)一種細粒度的進程級網(wǎng)絡(luò)流量采集方式。

通過linux 文件inode號作為橋梁，關(guān)聯(lián)出進程、網(wǎng)絡(luò)連接的關(guān)系，可以統(tǒng)計進程接收/發(fā)送的總量/平均值等各維度數(shù)據(jù)，也可以分析出進程各個網(wǎng)絡(luò)連接的流量數(shù)據(jù)，這些在主機流量安全分析、網(wǎng)絡(luò)監(jiān)控排查等場景方面可作為重要依據(jù)。但同時也需要注意的是持續(xù)通過libpcap抓包對主機性能有損耗影響。

以上所述是小編給大家介紹的Linux進程網(wǎng)絡(luò)流量統(tǒng)計的實現(xiàn)過程，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復(fù)大家的。在此也非常感謝大家對創(chuàng)新互聯(lián)網(wǎng)站的支持！

名稱欄目：Linux進程網(wǎng)絡(luò)流量統(tǒng)計的實現(xiàn)過程-創(chuàng)新互聯(lián)
標(biāo)題來源：http://www.aaarwkj.com/article20/ccjjco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、定制開發(fā)、云服務(wù)器、響應(yīng)式網(wǎng)站、標(biāo)簽優(yōu)化、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)