/*********************************************************************

 * Author  : Samson

 * Date    : 11/19/2014

 * Test platform:

 *              3.13.0-24-generic

 *              GNU bash, 4.3.11(1)-release

 * *******************************************************************/

主要分为下面几个步骤:   

(1)、通过使用抓包Libpcap库技术,对网络流量包进行获取。从而能够得到每一个网络通信包的五元组(源地址、目标地址、源port、目标port、协议号)信息和当前包的流量大小。得到这些信息后建立一个表,此表中的同一会话的包大小信息会随着此会话的不断交互而累加数据包的大小。   

(2)、通过对/proc/下的全部进程的fd/文件夹下的全部链接进行遍历查看link的值。将遍历到的全部包括socket:开头的连接,将进程号与遍历所得的相应进程号、进程相应的全部socket fd相应的inode号进行建表。在命令行能够输入下面命令进行某一进程的当前网络连接情况查看,例如以下(以firefox为例):

#get PID of firefox

v0id@v0id:~$ ps aux | grep firefox

v0id       2143  7.8 21.0 1138824 433960 ?      Sl   11:19  44:36 /usr/lib/firefox/firefox

得到firefox的进程号为2143,那么查看此进程的fd下的文件描写叙述符。使用下面命令就可以看到此进程下文件夹下的有关socket的文件描写叙述符信息,readlink后的结果中有socket开头的即为网络连接使用的fd(文件描写叙述符)。紧接在socket:后的即为fd的inode号,运行命令例如以下:

v0id@v0id:~$ ll /proc/2143/fd/ | grep socket

lrwx------ 1 v0id v0id 64 11月 19 11:19 10 -> socket:[27273]

lrwx------ 1 v0id v0id 64 11月 19 20:48 101 -> socket:[3726782]

lrwx------ 1 v0id v0id 64 11月 19 11:19 13 -> socket:[27336]

lrwx------ 1 v0id v0id 64 11月 19 11:19 14 -> socket:[27337]

lrwx------ 1 v0id v0id 64 11月 19 11:19 21 -> socket:[28264]

lrwx------ 1 v0id v0id 64 11月 19 20:48 30 -> socket:[29375]

lrwx------ 1 v0id v0id 64 11月 19 20:48 31 -> socket:[29692]

lrwx------ 1 v0id v0id 64 11月 19 20:48 32 -> socket:[30810]

lrwx------ 1 v0id v0id 64 11月 19 20:48 33 -> socket:[30812]

lrwx------ 1 v0id v0id 64 11月 19 20:48 36 -> socket:[31803]

lrwx------ 1 v0id v0id 64 11月 19 11:19 4 -> socket:[26607]

lrwx------ 1 v0id v0id 64 11月 19 20:48 40 -> socket:[31071]

lrwx------ 1 v0id v0id 64 11月 19 20:48 41 -> socket:[31073]

lrwx------ 1 v0id v0id 64 11月 19 20:52 44 -> socket:[5245647]

lrwx------ 1 v0id v0id 64 11月 19 20:52 69 -> socket:[5244897]

lrwx------ 1 v0id v0id 64 11月 19 20:52 71 -> socket:[5248187]

lrwx------ 1 v0id v0id 64 11月 19 20:52 72 -> socket:[5246226]

lrwx------ 1 v0id v0id 64 11月 19 20:52 75 -> socket:[5246227]

lrwx------ 1 v0id v0id 64 11月 19 20:52 76 -> socket:[5246228]

lrwx------ 1 v0id v0id 64 11月 19 20:52 77 -> socket:[5248188]

lrwx------ 1 v0id v0id 64 11月 19 20:52 78 -> socket:[5248189]

lrwx------ 1 v0id v0id 64 11月 19 20:52 79 -> socket:[5246239]

lrwx------ 1 v0id v0id 64 11月 19 20:48 80 -> socket:[3726781]

lrwx------ 1 v0id v0id 64 11月 19 20:52 81 -> socket:[5248214]

lrwx------ 1 v0id v0id 64 11月 19 20:52 82 -> socket:[5248217]

lrwx------ 1 v0id v0id 64 11月 19 20:52 83 -> socket:[5246330]

lrwx------ 1 v0id v0id 64 11月 19 20:52 84 -> socket:[5248215]

lrwx------ 1 v0id v0id 64 11月 19 20:52 85 -> socket:[5246331]

lrwx------ 1 v0id v0id 64 11月 19 20:52 86 -> socket:[5248216]

lrwx------ 1 v0id v0id 64 11月 19 20:52 87 -> socket:[5248218]

lrwx------ 1 v0id v0id 64 11月 19 20:52 88 -> socket:[5249212]

lrwx------ 1 v0id v0id 64 11月 19 20:48 89 -> socket:[37239]

lrwx------ 1 v0id v0id 64 11月 19 11:19 9 -> socket:[27820]

lrwx------ 1 v0id v0id 64 11月 19 20:52 90 -> socket:[5248222]

lrwx------ 1 v0id v0id 64 11月 19 20:52 92 -> socket:[5248223]

lrwx------ 1 v0id v0id 64 11月 19 20:52 93 -> socket:[5249279]

lrwx------ 1 v0id v0id 64 11月 19 20:48 94 -> socket:[37240]

lrwx------ 1 v0id v0id 64 11月 19 20:48 96 -> socket:[38308]

lrwx------ 1 v0id v0id 64 11月 19 20:48 97 -> socket:[37345]

lrwx------ 1 v0id v0id 64 11月 19 20:52 98 -> socket:[5249281]

lrwx------ 1 v0id v0id 64 11月 19 20:52 99 -> socket:[5249282]



(3)、通过对网络连接状态文件/proc/net/tcp中的当前通信连接进行实时读取,通过得到连接的源地址、目标地址、源商品、目标port就可以在抓包表中找到相应的可以查看到每一个进程所连接的网络通道的信息,通过和抓包所得的五元组信息进行比較,就可以在步骤(1)中建立的表中找出相应的每一个程序所相应的网络流量。再通过把每一个连接相应的inode与步骤(2)中遍历进程所得到的表进行对照。就可以找出连接相应的进程;这里就行把每一个进程相应的流量统计出来了。通过累加每一个进程的网络流量就可以得到总的网络流量。

v0id@v0id:~$ ll /proc/2143/fd/ | grep socket ; cat /proc/net/tcp

sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                     

   0: 0101007F:0035 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 12396 1 00000000 100 0 0 10 0                             

   1: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 11404 1 00000000 100 0 0 10 0                             

   2: 9707A8C0:8BB9 0C7CB5DC:0050 02 00000001:00000000 01:00000166 00000002  1000        0 5243074 2 00000000 400 0 0 2 5                            

   3: 9707A8C0:86F7 DF08A8C0:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5245647 1 00000000 21 4 8 10 -1                           

   4: 9707A8C0:BFC9 E99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248217 1 00000000 20 4 24 10 -1                          

   5: 9707A8C0:85FC AE2ED0CB:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248218 2 00000000 20 4 24 10 -1                          

   6: 9707A8C0:9052 C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246239 2 00000000 20 4 20 10 -1                          

   7: 9707A8C0:9281 925C4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246331 1 00000000 20 4 8 10 -1                           

   8: 9707A8C0:DFB3 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249212 2 00000000 21 4 24 10 -1                          

   9: 9707A8C0:DFB5 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248223 2 00000000 20 4 24 10 -1                          

  10: 9707A8C0:A614 E19D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246330 1 00000000 20 4 24 10 -1                          

  11: 9707A8C0:9051 C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248189 2 00000000 20 4 1 6 -1                            

  12: 9707A8C0:904B C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5244897 1 00000000 20 4 8 10 -1                           

  13: 9707A8C0:DFA5 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248187 2 00000000 20 4 8 10 -1                           

  14: 9707A8C0:A613 E19D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248214 1 00000000 20 4 24 10 -1                          

  15: 9707A8C0:905E C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249281 3 00000000 20 5 3 10 -1                           

  16: 9707A8C0:EAFE DF08A8C0:0050 08 00000000:00000001 00:00000000 00000000  1000        0 2102209 1 00000000 20 4 6 50 16                           

  17: 9707A8C0:DFB0 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248216 2 00000000 20 4 24 10 -1                          

  18: 9707A8C0:904E C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246227 2 00000000 20 4 20 10 -1                          

  19: 9707A8C0:DFB6 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249279 2 00000000 21 0 0 10 -1                           

  20: 9707A8C0:905F C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249282 2 00000000 20 4 9 10 -1                           

  21: 9707A8C0:C8CF 8805E29F:0050 08 00000000:00000001 00:00000000 00000000  1000        0 273820 1 00000000 20 4 6 43 16                            

  22: 9707A8C0:975D 525D58DE:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246226 1 00000000 21 4 24 10 -1                          

  23: 9707A8C0:9055 C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248215 1 00000000 20 4 20 10 -1                          

  24: 9707A8C0:DFB4 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248222 2 00000000 20 4 24 10 -1                          

  25: 9707A8C0:DFA9 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248188 2 00000000 21 4 8 10 -1                           

  26: 9707A8C0:904F C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246228 2 00000000 20 4 11 10 -1



能够在发上的内容中找到inode号与(2)中列出的socket:[inode]一样的值了吧,比如inode为5248222的连接,同样的即是说这个连接是属于firefox进行的了。

在GNU Linux中怎样得到一个进程当前的流量的更多相关文章

  1. Linux中强制结束一个进程的终极方法

    在 Linux Ubuntu 服务器上用 dnx 基于 Kestrel 成功运行一个 ASP.NET 5 站点后,怎么也无无法退出. 运行的命令如下: /data/git/dnx/artifacts/ ...

  2. 在Linux中要修改一个文件夹或文件的权限

    在Linux中要修改一个文件夹或文件的权限我们需要用到linux chmod命令来做,下面我写了几个简单的实例大家可参考一下. 语法如下: chmod [who] [+ | - | =] [mode] ...

  3. 在Linux中通过Top运行进程查找最高内存和CPU使用率

    按内存使用情况查找前15个进程,在批处理模式下为"top" 使用top命令查看有关当前状态,系统使用情况的更详细信息:正常运行时间,负载平均值和进程总数. 分类:Linux命令操作 ...

  4. linux中使用top获取进程的资源占用信息

    在linux中使用top获取进程的资源占用信息: Cpu(s):  1.0%us,  0.0%sy,  0.0%ni, 98.3%id,  0.7%wa,  0.0%hi,  0.0%si,  0.0 ...

  5. linux中内核的一个不错的参数somaxconn

    导读:在linux中,/proc/sys/net/core/somaxconn这个参数,linux中内核的一个不错的参数somaxconn 看下其解析: 对于一个TCP连接,Server与Client ...

  6. GNU Linux中的SO_RCVLOWAT和SO_SNDLOWAT说明

    /*********************************************************************  * Author  : Samson  * Date   ...

  7. GNU linux 中makefile那点事

    转自陈皓: http://bbs.chinaunix.net/viewthread.php?tid=408225 概述—— 什么是makefile?或许很多Winodws的程序员都不知道这个东西,因为 ...

  8. Linux中的程序和进程,PID和PPID

    环境:Vmware Workstation:CentOS-6.4-x86_64 程序和进程: 1.程序:程序是静止的,程序就是磁盘上的一个文件. 2.进程:进程是一个正在执行的程序的实例. 3.进程是 ...

  9. linux中如何对一个文件的内容进行处理,文件中每行有多个字段的值,中间用空格分隔开?

    需求描述: 今天在帮同事看个需求,将操作系统上的文件进行修改名字,改为特定的名字,所以呢,就先把这些原名字及对应的新名字关系放到了一个文本中,对于这个文本执行循环. 文件格式如下: .00000005 ...

随机推荐

  1. struts2之通配符映射

    系统有n多个请求时候,不可能以一个action对应一个映射.可以用通配符映射将成百上千请求简化成一个通用映射. 通配符映射规则:1.若找到多个匹配,没有通配符的将胜出. 2.若指定的动作不存在,str ...

  2. sql server nullif的使用技巧,除数为零的处理技巧

    在sql server中做除法处理的时候,我们经常需要处理除数为零的情况,因为如果遇到这种情况的时候,sqlserver会抛出遇到以零作除数错误的异常,我们总不希望把这个异常显示给用户吧. 做个会报这 ...

  3. ES6字符串模板

    这里做个简单的拓展,之前做vue组件时,经常用到拼接字符串,换行时用到\,既费时又麻烦.这里介绍个ES6字符串模板方法 旧版拼接(各种换行拼接) Vue.component('obj-prop',{ ...

  4. iOS中NSAttributedString的使用--对关键字着色,以及处理html实例

    1,最近项目中用到了一个功能,一个很好的功能.就是用户在搜索的时候,搜索结果出来后对你输入的关键字进行红色标记.这样用户就很请楚的看到自己输入什么后会出现什么样子的结果.还有一个功能是,现在有一段文字 ...

  5. zabbix部署-版本3.2.6

    172.18.237.14:一台主机上安装LAMP环境以及zabbix_server.zabbix_agentd 一.安装zibbix-server 1.环境要求 yum install mysql- ...

  6. Python爬虫入门教程: 27270图片爬取

    今天继续爬取一个网站,http://www.27270.com/ent/meinvtupian/ 这个网站具备反爬,so我们下载的代码有些地方处理的也不是很到位,大家重点学习思路,有啥建议可以在评论的 ...

  7. ndk编译libpcap 1.7.4

    android完全菜鸟,绝对的第一次接触,想做手机抓包,在网上搜又是NDK 又是JNI 又是JNETPCAP 完全蒙了,让我这种android和java都弄不明白什么关系的人情何以堪! 静下心想一想, ...

  8. 解决ASP.NET Core部署到IIS,更新项目"另一个程序正在使用此文件,进程无法访问"

    问题:部署到IIS上的ASP.NET Core项目,在更新的时候会进程占用的错误 初步解决方案: 1,关闭应用程序池 2,关闭网站 3,更新项目 缺点:网站没法访问,部署项目停的时间过长 查询官方文档 ...

  9. java使用JNA框架调用dll动态库

    这两天了解了一下java调用dll动态库的方法,总的有三种:JNI.JNA.JNative.其中JNA调用DLL是最方便的. ·JNI ·JNA ·JNative java使用 JNI来调用dll动态 ...

  10. C#装饰模式

    using System;using System.Collections.Generic;using System.Text; namespace 装饰模式{    class Person    ...