/*********************************************************************

 * Author  : Samson

 * Date    : 11/19/2014

 * Test platform:

 *              3.13.0-24-generic

 *              GNU bash, 4.3.11(1)-release

 * *******************************************************************/

主要分为下面几个步骤:   

(1)、通过使用抓包Libpcap库技术,对网络流量包进行获取。从而能够得到每一个网络通信包的五元组(源地址、目标地址、源port、目标port、协议号)信息和当前包的流量大小。得到这些信息后建立一个表,此表中的同一会话的包大小信息会随着此会话的不断交互而累加数据包的大小。   

(2)、通过对/proc/下的全部进程的fd/文件夹下的全部链接进行遍历查看link的值。将遍历到的全部包括socket:开头的连接,将进程号与遍历所得的相应进程号、进程相应的全部socket fd相应的inode号进行建表。在命令行能够输入下面命令进行某一进程的当前网络连接情况查看,例如以下(以firefox为例):

#get PID of firefox

v0id@v0id:~$ ps aux | grep firefox

v0id       2143  7.8 21.0 1138824 433960 ?      Sl   11:19  44:36 /usr/lib/firefox/firefox

得到firefox的进程号为2143,那么查看此进程的fd下的文件描写叙述符。使用下面命令就可以看到此进程下文件夹下的有关socket的文件描写叙述符信息,readlink后的结果中有socket开头的即为网络连接使用的fd(文件描写叙述符)。紧接在socket:后的即为fd的inode号,运行命令例如以下:

v0id@v0id:~$ ll /proc/2143/fd/ | grep socket

lrwx------ 1 v0id v0id 64 11月 19 11:19 10 -> socket:[27273]

lrwx------ 1 v0id v0id 64 11月 19 20:48 101 -> socket:[3726782]

lrwx------ 1 v0id v0id 64 11月 19 11:19 13 -> socket:[27336]

lrwx------ 1 v0id v0id 64 11月 19 11:19 14 -> socket:[27337]

lrwx------ 1 v0id v0id 64 11月 19 11:19 21 -> socket:[28264]

lrwx------ 1 v0id v0id 64 11月 19 20:48 30 -> socket:[29375]

lrwx------ 1 v0id v0id 64 11月 19 20:48 31 -> socket:[29692]

lrwx------ 1 v0id v0id 64 11月 19 20:48 32 -> socket:[30810]

lrwx------ 1 v0id v0id 64 11月 19 20:48 33 -> socket:[30812]

lrwx------ 1 v0id v0id 64 11月 19 20:48 36 -> socket:[31803]

lrwx------ 1 v0id v0id 64 11月 19 11:19 4 -> socket:[26607]

lrwx------ 1 v0id v0id 64 11月 19 20:48 40 -> socket:[31071]

lrwx------ 1 v0id v0id 64 11月 19 20:48 41 -> socket:[31073]

lrwx------ 1 v0id v0id 64 11月 19 20:52 44 -> socket:[5245647]

lrwx------ 1 v0id v0id 64 11月 19 20:52 69 -> socket:[5244897]

lrwx------ 1 v0id v0id 64 11月 19 20:52 71 -> socket:[5248187]

lrwx------ 1 v0id v0id 64 11月 19 20:52 72 -> socket:[5246226]

lrwx------ 1 v0id v0id 64 11月 19 20:52 75 -> socket:[5246227]

lrwx------ 1 v0id v0id 64 11月 19 20:52 76 -> socket:[5246228]

lrwx------ 1 v0id v0id 64 11月 19 20:52 77 -> socket:[5248188]

lrwx------ 1 v0id v0id 64 11月 19 20:52 78 -> socket:[5248189]

lrwx------ 1 v0id v0id 64 11月 19 20:52 79 -> socket:[5246239]

lrwx------ 1 v0id v0id 64 11月 19 20:48 80 -> socket:[3726781]

lrwx------ 1 v0id v0id 64 11月 19 20:52 81 -> socket:[5248214]

lrwx------ 1 v0id v0id 64 11月 19 20:52 82 -> socket:[5248217]

lrwx------ 1 v0id v0id 64 11月 19 20:52 83 -> socket:[5246330]

lrwx------ 1 v0id v0id 64 11月 19 20:52 84 -> socket:[5248215]

lrwx------ 1 v0id v0id 64 11月 19 20:52 85 -> socket:[5246331]

lrwx------ 1 v0id v0id 64 11月 19 20:52 86 -> socket:[5248216]

lrwx------ 1 v0id v0id 64 11月 19 20:52 87 -> socket:[5248218]

lrwx------ 1 v0id v0id 64 11月 19 20:52 88 -> socket:[5249212]

lrwx------ 1 v0id v0id 64 11月 19 20:48 89 -> socket:[37239]

lrwx------ 1 v0id v0id 64 11月 19 11:19 9 -> socket:[27820]

lrwx------ 1 v0id v0id 64 11月 19 20:52 90 -> socket:[5248222]

lrwx------ 1 v0id v0id 64 11月 19 20:52 92 -> socket:[5248223]

lrwx------ 1 v0id v0id 64 11月 19 20:52 93 -> socket:[5249279]

lrwx------ 1 v0id v0id 64 11月 19 20:48 94 -> socket:[37240]

lrwx------ 1 v0id v0id 64 11月 19 20:48 96 -> socket:[38308]

lrwx------ 1 v0id v0id 64 11月 19 20:48 97 -> socket:[37345]

lrwx------ 1 v0id v0id 64 11月 19 20:52 98 -> socket:[5249281]

lrwx------ 1 v0id v0id 64 11月 19 20:52 99 -> socket:[5249282]



(3)、通过对网络连接状态文件/proc/net/tcp中的当前通信连接进行实时读取,通过得到连接的源地址、目标地址、源商品、目标port就可以在抓包表中找到相应的可以查看到每一个进程所连接的网络通道的信息,通过和抓包所得的五元组信息进行比較,就可以在步骤(1)中建立的表中找出相应的每一个程序所相应的网络流量。再通过把每一个连接相应的inode与步骤(2)中遍历进程所得到的表进行对照。就可以找出连接相应的进程;这里就行把每一个进程相应的流量统计出来了。通过累加每一个进程的网络流量就可以得到总的网络流量。

v0id@v0id:~$ ll /proc/2143/fd/ | grep socket ; cat /proc/net/tcp

sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                     

   0: 0101007F:0035 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 12396 1 00000000 100 0 0 10 0                             

   1: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 11404 1 00000000 100 0 0 10 0                             

   2: 9707A8C0:8BB9 0C7CB5DC:0050 02 00000001:00000000 01:00000166 00000002  1000        0 5243074 2 00000000 400 0 0 2 5                            

   3: 9707A8C0:86F7 DF08A8C0:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5245647 1 00000000 21 4 8 10 -1                           

   4: 9707A8C0:BFC9 E99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248217 1 00000000 20 4 24 10 -1                          

   5: 9707A8C0:85FC AE2ED0CB:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248218 2 00000000 20 4 24 10 -1                          

   6: 9707A8C0:9052 C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246239 2 00000000 20 4 20 10 -1                          

   7: 9707A8C0:9281 925C4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246331 1 00000000 20 4 8 10 -1                           

   8: 9707A8C0:DFB3 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249212 2 00000000 21 4 24 10 -1                          

   9: 9707A8C0:DFB5 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248223 2 00000000 20 4 24 10 -1                          

  10: 9707A8C0:A614 E19D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246330 1 00000000 20 4 24 10 -1                          

  11: 9707A8C0:9051 C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248189 2 00000000 20 4 1 6 -1                            

  12: 9707A8C0:904B C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5244897 1 00000000 20 4 8 10 -1                           

  13: 9707A8C0:DFA5 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248187 2 00000000 20 4 8 10 -1                           

  14: 9707A8C0:A613 E19D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248214 1 00000000 20 4 24 10 -1                          

  15: 9707A8C0:905E C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249281 3 00000000 20 5 3 10 -1                           

  16: 9707A8C0:EAFE DF08A8C0:0050 08 00000000:00000001 00:00000000 00000000  1000        0 2102209 1 00000000 20 4 6 50 16                           

  17: 9707A8C0:DFB0 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248216 2 00000000 20 4 24 10 -1                          

  18: 9707A8C0:904E C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246227 2 00000000 20 4 20 10 -1                          

  19: 9707A8C0:DFB6 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249279 2 00000000 21 0 0 10 -1                           

  20: 9707A8C0:905F C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249282 2 00000000 20 4 9 10 -1                           

  21: 9707A8C0:C8CF 8805E29F:0050 08 00000000:00000001 00:00000000 00000000  1000        0 273820 1 00000000 20 4 6 43 16                            

  22: 9707A8C0:975D 525D58DE:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246226 1 00000000 21 4 24 10 -1                          

  23: 9707A8C0:9055 C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248215 1 00000000 20 4 20 10 -1                          

  24: 9707A8C0:DFB4 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248222 2 00000000 20 4 24 10 -1                          

  25: 9707A8C0:DFA9 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248188 2 00000000 21 4 8 10 -1                           

  26: 9707A8C0:904F C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246228 2 00000000 20 4 11 10 -1



能够在发上的内容中找到inode号与(2)中列出的socket:[inode]一样的值了吧,比如inode为5248222的连接,同样的即是说这个连接是属于firefox进行的了。

在GNU Linux中怎样得到一个进程当前的流量的更多相关文章

  1. Linux中强制结束一个进程的终极方法

    在 Linux Ubuntu 服务器上用 dnx 基于 Kestrel 成功运行一个 ASP.NET 5 站点后,怎么也无无法退出. 运行的命令如下: /data/git/dnx/artifacts/ ...

  2. 在Linux中要修改一个文件夹或文件的权限

    在Linux中要修改一个文件夹或文件的权限我们需要用到linux chmod命令来做,下面我写了几个简单的实例大家可参考一下. 语法如下: chmod [who] [+ | - | =] [mode] ...

  3. 在Linux中通过Top运行进程查找最高内存和CPU使用率

    按内存使用情况查找前15个进程,在批处理模式下为"top" 使用top命令查看有关当前状态,系统使用情况的更详细信息:正常运行时间,负载平均值和进程总数. 分类:Linux命令操作 ...

  4. linux中使用top获取进程的资源占用信息

    在linux中使用top获取进程的资源占用信息: Cpu(s):  1.0%us,  0.0%sy,  0.0%ni, 98.3%id,  0.7%wa,  0.0%hi,  0.0%si,  0.0 ...

  5. linux中内核的一个不错的参数somaxconn

    导读:在linux中,/proc/sys/net/core/somaxconn这个参数,linux中内核的一个不错的参数somaxconn 看下其解析: 对于一个TCP连接,Server与Client ...

  6. GNU Linux中的SO_RCVLOWAT和SO_SNDLOWAT说明

    /*********************************************************************  * Author  : Samson  * Date   ...

  7. GNU linux 中makefile那点事

    转自陈皓: http://bbs.chinaunix.net/viewthread.php?tid=408225 概述—— 什么是makefile?或许很多Winodws的程序员都不知道这个东西,因为 ...

  8. Linux中的程序和进程,PID和PPID

    环境:Vmware Workstation:CentOS-6.4-x86_64 程序和进程: 1.程序:程序是静止的,程序就是磁盘上的一个文件. 2.进程:进程是一个正在执行的程序的实例. 3.进程是 ...

  9. linux中如何对一个文件的内容进行处理,文件中每行有多个字段的值,中间用空格分隔开?

    需求描述: 今天在帮同事看个需求,将操作系统上的文件进行修改名字,改为特定的名字,所以呢,就先把这些原名字及对应的新名字关系放到了一个文本中,对于这个文本执行循环. 文件格式如下: .00000005 ...

随机推荐

  1. Android基础TOP6_1:FrameLyayout和ImageView制作层叠图片

    Activity: <FrameLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns ...

  2. php redis 操作大全

    类和方法 用法 Redis类 类RedisException 预定义的常量 Redis类 说明:创建一个Redis客户端 例 $redis = new Redis(); 类RedisException ...

  3. tomcat日志详释

    1.tomcat的日志分类: 一是运行中的日志,它主要记录运行的一些信息,尤其是一些异常错误日志信息 . 二是访问日志信息,它记录的访问的时间,IP ,访问的资料等相关信息. 2.tomcat的日志目 ...

  4. 如何在mybatis中引用java中的常量和方法

    转自:http://www.68idc.cn/help/jiabenmake/qita/20140821125261.html 在mybatis的映射xml文件调用java类的方法: 1. SELEC ...

  5. windows如何统计端口的连接数

    习惯了linux的系统管理员,对linux的命令行工具总是印象极深,几乎所有的管理都可以在命令行下完成.命令行工具是linux系统管理的主流. 而使用windows是,因为图形化的界面,大家习惯了图形 ...

  6. CAD动态绘制样条线(网页版)

    在CAD设计时,需要绘制样条线,用户可以设置样条线线重及颜色等属性. 主要用到函数说明: _DMxDrawX::SendStringToExecuteFun 把命令当着函数执行,可以传参数.详细说明如 ...

  7. php中 如何找到session 的保存位置

    [前言] 刚刚想测试FQ操作,需要删除session,这里记录分享下 [主体] (1)想要查看session保存的目录,需要先找到 php.ini配置文件 (2)在php.ini文件中查找 sessi ...

  8. 02Microsoft SQL Server 安装,卸载,系统服务,系统组件及系统数据库

    Microsoft SQL Server 安装,卸载,系统服务,系统组件及系统数据库 1. Microsoft SQL Server 安装 通过单击下拉框,选择浏览,然后在Active Directo ...

  9. xmpp使用经验

    IM 标准协议有XMPP\IMPP\PRIM\SIP(SIMPLE)等,其中XMPP基于XML的协议,具备了很好的扩展性(依靠XML的域名空间)并且可以建立在TLS上使用SASL认证. 1.文件比如图 ...

  10. Coin Toss(uva 10328,动态规划递推,限制条件,至少转至多,高精度)

    有n张牌,求出至少有k张牌连续是正面的排列的种数.(1=<k<=n<=100) Toss is an important part of any event. When everyt ...