Herramienta de Linux para monitorear la actividad de la red por aplicación

Para obtener una grieta en esto, tendríamos que correlacionar el tráfico generado con los procesos que se ejecutan en la máquina. Un ejemplo de la vida real podría ser un allanamiento que tuve hace algunos años en una caja de Linux ( PLD ). Se estaba ejecutando un proceso en la máquina llamada dd_ssh y el archivo correspondiente se encontraba en / tmp . La máquina estaba generando una gran cantidad de tráfico, y básicamente se convirtió en un zombie para enviar spam. El truco era:

1. Use algún software de descarga de red (como tcpdump ) para identificar el tráfico que se está generando.
2. Use netstat -punt para identificar el PID del proceso que está generando el tráfico (la última columna contiene el PID / nombre del proceso).
3. Use ps para señalar el proceso y el archivo correspondiente.

De esa manera, usted identificará la relación tráfico → proceso → archivo , y finalmente encontrará al culpable.

Creo que tus amigos en este caso son wireshark + lsof + netstat, al dominar estas herramientas, estoy seguro de que puedes identificar la aplicación que está cargando tus datos.

Recomendaría probar estos rastreadores de red.

  

1. Wireshark (consejo profesional: filtro ip.addr == "<server-address>" )
  
2. Netspoof-ng
  
3. EtherApe
  

Si no puede precisar qué aplicación está cargando datos, puede verificar netstat -a , isof .