@1010101
1010101
28 Dec 2016

Нужно дампить трафик (tcpdump) конкретного демона (например, по pid)
- демон слушает входящие tcp-соединения на конкретном порту
- демон получает списки пиров от других пиров, в которых ему передают адреса и порты, на которые он временами делает исходящие клиентские tcp-сессии.
Есть идеи получше, чем SystemTap ?
Хачить демона (бинарники) нельзя, лить весь трафик с интерфейса - дорого, он нагружен

Рекомендовано: snakehoney и apepe
29 Dec 2016

Создай еще один интерфейс, повесь демон на него и юзай tcpdump для этого интерфейса.

29 Dec 2016

hirthwork, stap - пофункциональней. но это не вариант

#okowx/3 в ответ на /2
29 Dec 2016

@mad-hatter, физическая изоляция сетей - как вариант, но мне нужно отдебажить то, что уже есть и сейчас работает

#okowx/4 в ответ на /1
29 Dec 2016

Запускай демона через tsocks какой-нибудь, например.

29 Dec 2016

В общем случае нельзя трафик от конкретного процесса отделить от другого.

#okowx/6 в ответ на /5
29 Dec 2016

процесс отдает в сокет, дальше обрабатывает ядро, а дампим мы как правило, уже на интерфейсе.
исходящий можно маркировать, а вот входящий только по порту, заранее зная какой именно процесс открыл сокет.. в общем, не тривиально

#okowx/8 в ответ на /7

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.