Registro de conexiones salientes a medida que ocurren

¿Hay alguna forma de iniciar sesión para archivar todas las conexiones salientes que crea un proceso? Soy consciente de netstateso, pero parece ser más una instantánea de un punto en el tiempo que algo que se ejecuta y registra información durante un período.

Solo necesito la IP o el nombre de host, el puerto y el proceso de conexión.

En Linux, puede configurar el subsistema de auditoría para registrar cada intento de establecer una conexión de red. Para obtener información sobre el subsistema de auditoría, lea la auditctlpágina de manual o este tutorial u otros ejemplos en este sitio . Instale el auditdpaquete de su distribución si es necesario, luego

auditctl -A exit,always -S connect

Los registros están en /var/log/audit/audit.logtodas las distribuciones que conozco. También puedes buscarlos con ausearch.

Si puede instalar un núcleo personalizado, debería echar un vistazo a SystemTap . Hay muchos ejemplos de cómo rastrear la actividad de la red.

En Linux, puede usar ip_conntrackpara lograr esto. Es un módulo de seguimiento de conexiones, que se usa normalmente para monitorear conexiones para protocolos de comportamiento extraño (como FTP) para ser administrados por un firewall / caja NAT.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Puede grep el pseudo-archivo para ver las conexiones establecidas, y grep aún más la IP de origen para ver cuándo se origina en su caja.

Buscaría usar tcpdumpen la interfaz de salida mirando las SYNsolicitudes de salida .

Si se siente realmente aventurero, podría hacer utilidades como: straceo trussinformar todas las connectllamadas al sistema mientras rastrea la ejecución del programa, pero esto es un poco más peligroso y tiene inconvenientes cuando se trata de procesos multiproceso.