“Haydut” internet erişim Uygulamalarını belirleme

Şu anda düzenli olarak internete erişen bir uygulama / hizmet / widget / eklenti / cronjob var. Özel sorunumun ayrıntılarına girebilirim ama kendimi bulamamı sağlayacak bir cevabım olmasını tercih ederim ve süreçte Ubuntu hakkında daha fazla bilgi edinin.

dnstopŞu anda ağımda yapılan tüm DNS isteklerini görüntülemek için kullanıyorum . Şu anda argümanlar uğruna, weather.noaa.gov15 dakikalık bir döngü için bir talep var . İşlemlerimi kontrol ettim ve hiçbir şey bulamadığım halde muhtemelen bir hava durumu widget'ı ve istek bilgisayarımdan geliyor.

Peki soru, hangi sürece eriştiğini nasıl belirlerim weather.noaa.gov?

Bunu anlamak için her hizmeti / eklentiyi / uygulamayı kapatarak bir eleme sürecinden geçmek istemiyorum. DNS isteğini hangi işlemin gerçekleştirdiğini belirlemek için bir yol bulmak istiyorum.

İyi bir "Uygulama Güvenlik Duvarı" olsaydı, istek hiçbir zaman yapılmazdı. Ancak bu bir "at zaten civatalandı" senaryosudur ve bu DNS isteğini yapan "haydut" süreci bulmak ister.

Sonsuz bir döngünün bir süre çalışmasını önemsemiyorsanız, netstat'ı sürekli olarak çalıştırabilir ve programınızın bağlandığı bilgisayarın IP adresi için çıkışı filtreleyebilirsiniz. Etki alanı adları yerine IP adresleri kullanmanızı öneririm çünkü çok daha hızlıdır, her netstat çağrısının süresini kısaltır ve dolayısıyla sürecinizi gerçekten yakalama şansını artırır. İşlemin şu anda oturum açmış olan kullanıcıya ait olmadığını düşünüyorsanız, netstat komutunu root olarak çalıştırmalısınız. Bu nedenle, önce etki alanının IP'sini belirlemek için nslookup kullanın:

nslookup weather.noaa.gov

Benim için bu şu anda veriyor: 193.170.140.70 ve 193.170.140.80. Şimdi bir netstats infinte döngüsü koyabilirsiniz. Grep kullanarak filtreleyebileceğiniz çıktı (ve STDERR'yi atın).

while [ true ] ;  do netstat -tunp 2>/dev/null | grep -e 193.170.140.70 -e 193.170.140.80  ; done

Tabii ki yukarıdaki örnekte IP adreslerini düzenleyin. Bu örnek TCP ve UDP (-tu) bağlantılarını araştırıyor, DNS çözümlemesi (-n) yapmıyor ve işlemleri (-p) listeliyor. DNS çözümlemesi yapmak için yeterli zaman olduğunu düşünüyorsanız, netstat için -n seçeneğini atlamanız ve etki alanını IP yerine grep için koymanız yeterlidir. CTRL + c tuşlarına basarak sonsuz döngüyü durdurabilirsiniz

Umarım bu yardımcı olur Andreas

Not: Biliyorum, bunu yapmanın ideal, verimli veya temiz yolu değil, ama bir kerelik arama için bu yeterli olmalı.

Ayrıca, uygulamayı bağlanmakta olan FQDN'nin / etc / hosts ilavesi ile "kırabilir". Ona 10.1.2.3 (veya 127.0.0.1) gibi yönlendirilemeyen bir IP verin ve neyin kırıldığını görün.