18 votos

En Linux, ¿cómo puedo decir que el proceso es el envío de paquetes de Ethernet?

Estoy corriendo gkrellm que demuestra que algún proceso en mi Debian Linux sistema de escritura aprox 500KB/s a eth0. Me gustaría averiguar qué proceso es. Yo sé un poco acerca de netstat, pero muestra un trillón de conexiones TCP abiertas y me parece que no puede hacer es presentar cualquier información sobre el tráfico.

¿Alguien sabe cómo puedo obtener una lista de los procesos que son en realidad el uso de la interfaz eth0 para que yo pueda rastrear el delincuente?


SEGUIMIENTO: La distribución Linux Debian contiene un nethogs paquete que resuelve este problema de forma definitiva. Las herramientas que no están del todo de la marca incluyen iftop, netstaty lsof.

18voto

84104 Puntos 6069

netstat -ptu le dará el poseer identificadores de proceso (junto con el estándar de netstat info) para todas las conexiones tcp y udp. (Los usuarios normales no serán capaces de identificación de todos los procesos.)

Si algo está enviando una gran cantidad de tráfico constante que debe ver en Recv-Q o Send-Q columnas 2 y 3, respectivamente.

Ejemplos:
Recv-Q
sudo watch -n .1 'netstat -tup | grep -E "^[t,u]cp[6]{0,1}" | sort -nr -k2'

Send-Q
sudo watch -n .1 'netstat -tup | grep -E "^[t,u]cp[6]{0,1}" | sort -nr -k3'

Si usted sospecha que el proceso se desencadena por otro proceso ps axf.

16voto

Janne Pikkarainen Puntos 22249

Yo prefiero nethogs. Es un pequeño basada en ncurses programa de consola que muestra por proceso de la red del estado del tráfico en una forma conveniente.

5voto

gdurham Puntos 699

Un manual de operación si usted está buscando simplemente un proceso de envío/recepción de datos sería correr el lsof comando. Esto mostrará una lista de todos los archivos abiertos por cada proceso que incluirá las conexiones de red como son descriptores de archivo a la junta.s.

No estoy seguro si esto es lo que usted está buscando.

4voto

David Schwartz Puntos 22683

Instale iftop (texto simple) o ntop (gráfica).

3voto

quanta Puntos 31979

Uso tcpdump a oler algunos paquetes en esta interfaz:

# tcpdump -vv -s0 -i eth0 -c 100 -w /tmp/eth0.pcap

Copia para el cliente y abrir con Wireshark para ver lo que sucede.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: