Linux进程网络流量统计的实现过程

前言

linux都有相应开源工具实时采集网络连接、进程等信息其中网络连接一般包括最基本的五元组信息(源地址、目标地址、源端口、目标端口、协议号)再加上所属进程信息pid, exe, cmdline)等。其中这两项数据大多可直接读取linux /proc目录下的网络状态连接文件/proc/net/tcp、/proc/net/udp), 进程状态目录(/proc/pid/xx) 。

在某些应用安全场景需要结合进程网络连接、流入流出流量等数据可分析出是否在内网存在恶意外传敏感数据现象在网络监控 时发现 服务器大量带宽被占用但不清楚由系统具体哪个进程占用 。为此都需要获取到更细粒度的进程级网络流量数据综合分析。

在linux proc目录下可查到主机级网络数据,例如/proc/net/snmp提供了主机各层IP、ICMP、ICMPMsg、TCP、UDP详细数据,/proc/net/netstat 文件 InBcastPkts、 OutBcastPkts、InOctets、OutOctets字段表示主机的收发包数、收包字节数据。很可惜没有 进程级流入流出网络流量数据。

为此参考nethogs原理实现统计进程级网络流量方式。

基本数据

涉及proc以下几个目录或文件网络状态文件/proc/net/tcp、/proc/net/udp, 进程文件描述符目录/proc/pid/fd。

网络状态文件/proc/net/tcp

我们重点关注五元组+状态+inode号分别在第2、3、4、11列

其中第23列分别是主机字节序ip:port ,例如”0500000A:0016″ -> “10.0.0.5″, 22

第4列是状态信息状态字段含义如下:

“01″: “ESTABLISHED”,
“02″: “SYN_SENT”,
“03″: “SYN_RECV”,
“04″: “FIN_WAIT1″,
“05″: “FIN_WAIT2″,
“06″: “TIME_WAIT”,
“07″: “CLOSE”,
“08″: “CLOSE_WAIT”,
“09″: “LAST_ACK”,
“0A”: “LISTEN”,
“0B”: “CLOSING”

第11列是inode号 linux系统文件系统中的一个文件系统对象包括文件、目录、设备文件、socket、管道等的元信息。

进程文件描述符

/proc/pid/fd目录下列出当前进程打开的文件信息其中0、1、2表示标准输入、输出、错误。

网络连接是以socket:开头的文件描述符,其中[]号内的是inode号这样与网络状态文件/proc/net/tcp下的inode号可对应起来

以pid:25133进程为例, 文件描述符是10、12 对应inode号分别是512505532、512473483的网络连接,同时在下图中的/proc/net/tcp都可以查找到对应连接的详细信息。

根据上述文件信息可以从/proc/net/tcp建立起网络连接五元组->inode的映射, 而 /proc/pid/fd建立起连接inode ->进程的映射。

这样 通过inode号作为桥梁关联起系统内的进程与网络连接的信息。

实现流程

为了实时获取网络连接流量在linux主机上使用开源libpcap库来抓取网络报文。整个实现流程图如下包含以下5个关键步骤。

抓包

使用抓包Libpcap库获取到网络packet结构。

解析报文

解析出packet的五元组(源地址、目标地址、源端口、目标端口、协议号)信息和当前包的流量大小。

缓存更新

在ConnInodeHash查找五元组组成的key对应的inode号如果不存在重新读取/proc/net/tcp与udp刷新ConnInodeHash缓存建立起连接与inode的映射并重新读取/proc/pid/fd目录对所有文件描述符遍历过滤出以socket:开头的连接刷新InodeProcessHash缓存重新建立inode与进程的映射。

hash查找

根据查找到inode号在InodeProcessHash查找相应进程pid。

统计流量

根据报文地址,判断网络连接方向,累加进程流入、流出数据。

总结

对linux主机抓包,结合网络状态文件、进程文件描述符实现一种细粒度的进程级网络流量采集方式。

通过linux 文件inode号作为桥梁,关联出进程、网络连接的关系,可以统计进程接收/发送的总量/平均值等各维度数据,也可以分析出进程各个网络连接的流量数据,这些在主机流量安全分析、网络监控排查等场景方面可作为重要依据。但同时也需要注意的是持续通过libpcap抓包对主机性能有损耗影响。

以上所述是小编给大家介绍的Linux进程网络流量统计的实现过程,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!

(0)

相关推荐

  • Linux进程网络流量统计的实现过程

    前言 linux都有相应开源工具实时采集网络连接.进程等信息其中网络连接一般包括最基本的五元组信息(源地址.目标地址.源端口.目标端口.协议号)再加上所属进程信息pid, exe, cmdline)等.其中这两项数据大多可直接读取linux /proc目录下的网络状态连接文件/proc/net/tcp./proc/net/udp), 进程状态目录(/proc/pid/xx) . 在某些应用安全场景需要结合进程网络连接.流入流出流量等数据可分析出是否在内网存在恶意外传敏感数据现象在网络监控 时发现

  • Linux下局域网流量统计

    1:统计10.86.0.0/16网段的内网流量情况 将下面脚本保存成文件traffic-lan.sh(运行后需要等待10秒抓包) tcpdump -nqt src net 10.86.0.0/16 and dst net ! 10.86.0.0/16 \ > /tmp/tcpdump_temp 2>&1 & sleep 10 kill `ps aux | grep tcpdump | grep -v grep | awk '{print $2}'` #awk '{s[$2] +

  • 6种查看Linux进程占用端口号的方法详解

    对于 Linux 系统管理员来说,清楚某个服务是否正确地绑定或监听某个端口,是至关重要的.如果你需要处理端口相关的问题,这篇文章可能会对你有用. 端口是 Linux 系统上特定进程之间逻辑连接的标识,包括物理端口和软件端口.由于 Linux 操作系统是一个软件,因此本文只讨论软件端口.软件端口始终与主机的 IP 地址和相关的通信协议相关联,因此端口常用于区分应用程序.大部分涉及到网络的服务都必须打开一个套接字来监听传入的网络请求,而每个服务都使用一个独立的套接字. 套接字是和 IP 地址.软件端

  • Linux体检,了解你的Linux状态(网络IO,磁盘,CPU,内存)

    目录 1.核心命令 2.常用命令 3.核心命令详解 3.1.ps aux 3.2.Top 1.上半部分显示了整体系统负载情: 2.下半部分显示了各个进程的运行情况: 1.核心命令 linux 监控网络IO.磁盘.CPU.内存: CPU:vmstat .sar –u.top 磁盘IO:iostat –xd.sar –d.top 网络IO:iftop -n.ifstat.dstat –nt.sar -n DEV 2 3 磁盘容量:df –h 内存使用:free –m.top 2.常用命令 (1)内存

  • php流量统计功能的实现代码

    流量统计功能 显示效果: 总访问量:399 今日流量:14 昨日流量:16 本代码仅供学习交流,其中必有不妥之处.请见谅! -- -- 表的结构 `mycounter` -- 复制代码 代码如下: CREATE TABLE `mycounter` ( `id` int(11) NOT NULL auto_increment, `Counter` int(11) NOT NULL, `CounterLastDay` int(10) default NULL, `CounterToday` int(

  • Linux多线程中fork与互斥锁过程示例

    目录 问题提出: (一)初次尝试 (二)理性分析 (三)解决问题 (1)使用pthread_join() (2)使用phread_atfork()注册一个fork之前的判断 问题提出: 我们有这样一个问题:在一个多线程程序中创建子进程并且让子线程和子进程去获取一把全局变量的锁,输出子线程得到锁,然后解锁,子进程拿到锁,然后解锁: (一)初次尝试 代码: #include <stdio.h> #include <unistd.h> #include <pthread.h>

  • linux下cpu飙高原因排查过程详解

    目录 前言 开始 步骤 排查 前言 cpu飙高是很常见的线上问题,这都不会的话,属实有点拉跨 兄弟萌不用慌,来我教你一套连招 开始 先来个项目,整个api,到时候我们请求/cpu/{count}就能手动拉高cpu,机智鬼~ @GetMapping("/cpu/{count}") public long cpuTest(@PathVariable("count") long count) { long number = 0; for (int i = 0; i <

  • Linux进程管理方法介绍

    目录 一.简介 二.创建进程 1.前台进程 2.后台进程 三.查看正在运行的进程 四.终止进程 五.父进程和子进程 六.僵尸进程和孤儿进程 七.常驻进程 八.top命令 九.任务和进程 十.前台任务和后台任务的切换 一.简介 当我们运行程序时,Linux会为程序创建一个特殊的环境,该环境包含程序运行需要的所有资源,以保证程序能够独立运行,不受其他程序的干扰.这个特殊的环境就称为进程.每个 Linux 命令都与系统中的程序对应,输入命令,Linux 就会创建一个新的进程.例如使用 ls 命令遍历目

  • C/C++ Linux Socket网络编程流程分析

    目录 一.Socket简介 二.Socket编程基础 1. 网络字节序 2. sockaddr数据结构 3. IP地址转换函数 三.Socket编程函数 1. socket函数 2. bind 函数 3. listen 函数 4. accept 函数 5. connect 函数 6. read 函数 7. write 函数 8. close 函数 四.回声服务器案例 1. 服务器 2. 客户端 3. 运行测试 五.总结 之前已经学习了QT的socket编程 和 C/C++在window环境的so

  • 四步完成asp网页设计流量统计

    按照以下步骤,逐步操作,你很快就会拥有精美的图形化计数器.  步骤1:在网站的某个目录如count下建立文本文件,如counter.dat    ,用于存放访问量.文件内容仅有一行数字,表示网站初始访问量,一般为0. 步骤2:在相同目录下建立计数器的ASP程序,可命名为mycount.asp,内容如下: <% '自编ASP图形化计数器 V1.1 '用于网页浏览统计,免费使用,自由拷贝! dim vistors '获取计数文件counter.dat的地址 countfile=server.mapp

随机推荐