网络流量统计

网络流量统计
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
Linux进程网络流量统计 zhouqiao2018-09-17共96787人围观，发现 6 个不明物体系统安全
前言

linux都有相应开源工具实时采集网络连接、进程等信息其中网络连接一般包括最基本的五元组信息(源地址、目标地址、源端口、目标端口、协议号)再加上所属进程信息pid, exe, cmdline)等。其中这两项数据大多可直接读取linux /proc目录下的网络状态连接文件/proc/net/tcp、/proc/net/udp), 进程状态目录(/proc/pid/xx) 。

在某些应用安全场景需要结合进程网络连接、流入流出流量等数据可分析出是否在内网存在恶意外传敏感数据现象在网络监控时发现服务器大量带宽被占用但不清楚由系统具体哪个进程占用。为此都需要获取到更细粒度的进程级网络流量数据综合分析。

在linux proc目录下可查到主机级网络数据，例如/proc/net/snmp提供了主机各层IP、ICMP、ICMPMsg、TCP、UDP详细数据，/proc/net/netstat 文件 InBcastPkts、 OutBcastPkts、InOctets、OutOctets字段表示主机的收发包数、收包字节数据。很可惜没有进程级流入流出网络流量数据。

为此参考nethogs原理实现统计进程级网络流量方式。

基本数据
涉及proc以下几个目录或文件网络状态文件/proc/net/tcp、/proc/net/udp, 进程文件描述符目录/proc/pid/fd。

网络状态文件/proc/net/tcp
我们重点关注五元组+状态+inode号分别在第2、3、4、11列

其中第23列分别是主机字节序ip:port ，例如”0500000A:0016″ -> “10.0.0.5″, 22

第4列是状态信息状态字段含义如下：

“01″: “ESTABLISHED”,

“02″: “SYN_SENT”,

“03″: “SYN_RECV”,

“04″: “FIN_WAIT1″,

“05″: “FIN_WAIT2″,

“06″: “TIME_WAIT”,

“07″: “CLOSE”,

“08″: “CLOSE_WAIT”,

“09″: “LAST_ACK”,

“0A”: “LISTEN”,

“0B”: “CLOSING”

第11列是inode号 linux系统文件系统中的一个文件系统对象包括文件、目录、设备文件、socket、管道等的元信息。

文件系统对象

进程文件描述符
/proc/pid/fd目录下列出当前进程打开的文件信息其中0、1、2表示标准输入、输出、错误。

网络连接是以socket:开头的文件描述符，其中[]号内的是inode号这样与网络状态文件/proc/net/tcp下的inode号可对应起来

进程文件描述符

以pid:25133进程为例, 文件描述符是10、12 对应inode号分别是512505532、512473483的网络连接，同时在下图中的/proc/net/tcp都可以查找到对应连接的详细信息。

进程文件描述符

根据上述文件信息可以从/proc/net/tcp建立起网络连接五元组->inode的映射, 而 /proc/pid/fd建立起连接inode ->进程的映射。

这样通过inode号作为桥梁关联起系统内的进程与网络连接的信息。

实现流程
为了实时获取网络连接流量在linux主机上使用开源libpcap库来抓取网络报文。整个实现流程图如下包含以下5个关键步骤。

5个关键步骤

抓包
使用抓包Libpcap库获取到网络packet结构。

解析报文
解析出packet的五元组(源地址、目标地址、源端口、目标端口、协议号)信息和当前包的流量大小。

缓存更新
在ConnInodeHash查找五元组组成的key对应的inode号如果不存在重新读取/proc/net/tcp与udp刷新ConnInodeHash缓存建立起连接与inode的映射并重新读取/proc/pid/fd目录对所有文件描述符遍历过滤出以socket:开头的连接刷新InodeProcessHash缓存重新建立inode与进程的映射。

hash查找
根据查找到inode号在InodeProcessHash查找相应进程pid。

统计流量
根据报文地址，判断网络连接方向，累加进程流入、流出数据。

总结
对linux主机抓包，结合网络状态文件、进程文件描述符实现一种细粒度的进程级网络流量采集方式。

通过linux 文件inode号作为桥梁，关联出进程、网络连接的关系，可以统计进程接收/发送的总量/平均值等各维度数据，也可以分析出进程各个网络连接的流量数据，这些在主机流量安全分析、网络监控排查等场景方面可作为重要依据。但同时也需要注意的是持续通过libpcap抓包对主机性能有损耗影响。

*本文作者：zhouqiao，转载请注明来自FreeBuf.COM

zhouqiao
zhouqiao
1 篇文章
等级： 1级
||
上一篇：Windows进程注入技术：额外窗口字节能做很多事情下一篇：lynis插件编写：从入门到放弃
发表评论已有 6 条评论

guest 2018-09-17回复 1楼
pcap抓包分析，读取/proc/xxx/fd，读取/proc/net/tcp之间是有时间窗口的，对于短连接有可能会漏掉吧？

亮了(0)

zhouqiao (1级) 2018-09-17回复
@ guest 确定会有这种情况

亮了(0)

zhouqiao (1级) 2018-09-18回复 2楼
滴滴安全部现招聘主机安全、waf研发, 安全运营等各职位牛人，欢迎大佬私聊联系或邮件发送zhou88qiao@sina.com

亮了(0)

webtest444 (1级) 2018-09-19回复
@ zhouqiao 杭州有吗

亮了(0)

zhouqiao (1级) 2018-09-19回复
@ webtest444 base都在北京，杭州暂时没有

亮了(0)

ForrestX386 (5级) I am a robot，do not talk to me 2018-09-21回复 3楼
@zhouqiao, 感谢分享，有个疑问

为啥只有8406930 这个socket node 可以在/proc/net/tcp 中能查到，其他8407334，8407337 没有查到呢

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
zhouqiao
zhouqiao

这家伙太懒，还未填写个人描述！

1
文章数
5
评论数
最近文章
Linux进程网络流量统计
2018.09.17

浏览更多
相关阅读
Linux下的字典生成工具Crunch，创造自己的专属字典渗透测试思路 | Linux下自动化搭建FakeAP，劫持用户在Portal认证下的所有流量Linux下恶意文件大规模共性分析探讨Linux netfilter OOB root提权漏洞分析使用Dirty COW获取T-Mobile LG V20机型Root权限
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

网络流量统计

文章评论