/*********************************************************************

 * Author  : Samson

 * Date    : 11/19/2014

 * Test platform:

 *              3.13.0-24-generic

 *              GNU bash, 4.3.11(1)-release

 * *******************************************************************/

主要分为下面几个步骤:   

(1)、通过使用抓包Libpcap库技术,对网络流量包进行获取。从而能够得到每一个网络通信包的五元组(源地址、目标地址、源port、目标port、协议号)信息和当前包的流量大小。得到这些信息后建立一个表,此表中的同一会话的包大小信息会随着此会话的不断交互而累加数据包的大小。   

(2)、通过对/proc/下的全部进程的fd/文件夹下的全部链接进行遍历查看link的值。将遍历到的全部包括socket:开头的连接,将进程号与遍历所得的相应进程号、进程相应的全部socket fd相应的inode号进行建表。在命令行能够输入下面命令进行某一进程的当前网络连接情况查看,例如以下(以firefox为例):

#get PID of firefox

v0id@v0id:~$ ps aux | grep firefox

v0id       2143  7.8 21.0 1138824 433960 ?      Sl   11:19  44:36 /usr/lib/firefox/firefox

得到firefox的进程号为2143,那么查看此进程的fd下的文件描写叙述符。使用下面命令就可以看到此进程下文件夹下的有关socket的文件描写叙述符信息,readlink后的结果中有socket开头的即为网络连接使用的fd(文件描写叙述符)。紧接在socket:后的即为fd的inode号,运行命令例如以下:

v0id@v0id:~$ ll /proc/2143/fd/ | grep socket

lrwx------ 1 v0id v0id 64 11月 19 11:19 10 -> socket:[27273]

lrwx------ 1 v0id v0id 64 11月 19 20:48 101 -> socket:[3726782]

lrwx------ 1 v0id v0id 64 11月 19 11:19 13 -> socket:[27336]

lrwx------ 1 v0id v0id 64 11月 19 11:19 14 -> socket:[27337]

lrwx------ 1 v0id v0id 64 11月 19 11:19 21 -> socket:[28264]

lrwx------ 1 v0id v0id 64 11月 19 20:48 30 -> socket:[29375]

lrwx------ 1 v0id v0id 64 11月 19 20:48 31 -> socket:[29692]

lrwx------ 1 v0id v0id 64 11月 19 20:48 32 -> socket:[30810]

lrwx------ 1 v0id v0id 64 11月 19 20:48 33 -> socket:[30812]

lrwx------ 1 v0id v0id 64 11月 19 20:48 36 -> socket:[31803]

lrwx------ 1 v0id v0id 64 11月 19 11:19 4 -> socket:[26607]

lrwx------ 1 v0id v0id 64 11月 19 20:48 40 -> socket:[31071]

lrwx------ 1 v0id v0id 64 11月 19 20:48 41 -> socket:[31073]

lrwx------ 1 v0id v0id 64 11月 19 20:52 44 -> socket:[5245647]

lrwx------ 1 v0id v0id 64 11月 19 20:52 69 -> socket:[5244897]

lrwx------ 1 v0id v0id 64 11月 19 20:52 71 -> socket:[5248187]

lrwx------ 1 v0id v0id 64 11月 19 20:52 72 -> socket:[5246226]

lrwx------ 1 v0id v0id 64 11月 19 20:52 75 -> socket:[5246227]

lrwx------ 1 v0id v0id 64 11月 19 20:52 76 -> socket:[5246228]

lrwx------ 1 v0id v0id 64 11月 19 20:52 77 -> socket:[5248188]

lrwx------ 1 v0id v0id 64 11月 19 20:52 78 -> socket:[5248189]

lrwx------ 1 v0id v0id 64 11月 19 20:52 79 -> socket:[5246239]

lrwx------ 1 v0id v0id 64 11月 19 20:48 80 -> socket:[3726781]

lrwx------ 1 v0id v0id 64 11月 19 20:52 81 -> socket:[5248214]

lrwx------ 1 v0id v0id 64 11月 19 20:52 82 -> socket:[5248217]

lrwx------ 1 v0id v0id 64 11月 19 20:52 83 -> socket:[5246330]

lrwx------ 1 v0id v0id 64 11月 19 20:52 84 -> socket:[5248215]

lrwx------ 1 v0id v0id 64 11月 19 20:52 85 -> socket:[5246331]

lrwx------ 1 v0id v0id 64 11月 19 20:52 86 -> socket:[5248216]

lrwx------ 1 v0id v0id 64 11月 19 20:52 87 -> socket:[5248218]

lrwx------ 1 v0id v0id 64 11月 19 20:52 88 -> socket:[5249212]

lrwx------ 1 v0id v0id 64 11月 19 20:48 89 -> socket:[37239]

lrwx------ 1 v0id v0id 64 11月 19 11:19 9 -> socket:[27820]

lrwx------ 1 v0id v0id 64 11月 19 20:52 90 -> socket:[5248222]

lrwx------ 1 v0id v0id 64 11月 19 20:52 92 -> socket:[5248223]

lrwx------ 1 v0id v0id 64 11月 19 20:52 93 -> socket:[5249279]

lrwx------ 1 v0id v0id 64 11月 19 20:48 94 -> socket:[37240]

lrwx------ 1 v0id v0id 64 11月 19 20:48 96 -> socket:[38308]

lrwx------ 1 v0id v0id 64 11月 19 20:48 97 -> socket:[37345]

lrwx------ 1 v0id v0id 64 11月 19 20:52 98 -> socket:[5249281]

lrwx------ 1 v0id v0id 64 11月 19 20:52 99 -> socket:[5249282]



(3)、通过对网络连接状态文件/proc/net/tcp中的当前通信连接进行实时读取,通过得到连接的源地址、目标地址、源商品、目标port就可以在抓包表中找到相应的可以查看到每一个进程所连接的网络通道的信息,通过和抓包所得的五元组信息进行比較,就可以在步骤(1)中建立的表中找出相应的每一个程序所相应的网络流量。再通过把每一个连接相应的inode与步骤(2)中遍历进程所得到的表进行对照。就可以找出连接相应的进程;这里就行把每一个进程相应的流量统计出来了。通过累加每一个进程的网络流量就可以得到总的网络流量。

v0id@v0id:~$ ll /proc/2143/fd/ | grep socket ; cat /proc/net/tcp

sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                     

   0: 0101007F:0035 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 12396 1 00000000 100 0 0 10 0                             

   1: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 11404 1 00000000 100 0 0 10 0                             

   2: 9707A8C0:8BB9 0C7CB5DC:0050 02 00000001:00000000 01:00000166 00000002  1000        0 5243074 2 00000000 400 0 0 2 5                            

   3: 9707A8C0:86F7 DF08A8C0:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5245647 1 00000000 21 4 8 10 -1                           

   4: 9707A8C0:BFC9 E99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248217 1 00000000 20 4 24 10 -1                          

   5: 9707A8C0:85FC AE2ED0CB:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248218 2 00000000 20 4 24 10 -1                          

   6: 9707A8C0:9052 C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246239 2 00000000 20 4 20 10 -1                          

   7: 9707A8C0:9281 925C4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246331 1 00000000 20 4 8 10 -1                           

   8: 9707A8C0:DFB3 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249212 2 00000000 21 4 24 10 -1                          

   9: 9707A8C0:DFB5 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248223 2 00000000 20 4 24 10 -1                          

  10: 9707A8C0:A614 E19D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246330 1 00000000 20 4 24 10 -1                          

  11: 9707A8C0:9051 C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248189 2 00000000 20 4 1 6 -1                            

  12: 9707A8C0:904B C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5244897 1 00000000 20 4 8 10 -1                           

  13: 9707A8C0:DFA5 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248187 2 00000000 20 4 8 10 -1                           

  14: 9707A8C0:A613 E19D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248214 1 00000000 20 4 24 10 -1                          

  15: 9707A8C0:905E C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249281 3 00000000 20 5 3 10 -1                           

  16: 9707A8C0:EAFE DF08A8C0:0050 08 00000000:00000001 00:00000000 00000000  1000        0 2102209 1 00000000 20 4 6 50 16                           

  17: 9707A8C0:DFB0 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248216 2 00000000 20 4 24 10 -1                          

  18: 9707A8C0:904E C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246227 2 00000000 20 4 20 10 -1                          

  19: 9707A8C0:DFB6 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249279 2 00000000 21 0 0 10 -1                           

  20: 9707A8C0:905F C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5249282 2 00000000 20 4 9 10 -1                           

  21: 9707A8C0:C8CF 8805E29F:0050 08 00000000:00000001 00:00000000 00000000  1000        0 273820 1 00000000 20 4 6 43 16                            

  22: 9707A8C0:975D 525D58DE:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246226 1 00000000 21 4 24 10 -1                          

  23: 9707A8C0:9055 C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248215 1 00000000 20 4 20 10 -1                          

  24: 9707A8C0:DFB4 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248222 2 00000000 20 4 24 10 -1                          

  25: 9707A8C0:DFA9 DD5D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5248188 2 00000000 21 4 8 10 -1                           

  26: 9707A8C0:904F C99D4F75:0050 01 00000000:00000000 00:00000000 00000000  1000        0 5246228 2 00000000 20 4 11 10 -1



能够在发上的内容中找到inode号与(2)中列出的socket:[inode]一样的值了吧,比如inode为5248222的连接,同样的即是说这个连接是属于firefox进行的了。

在GNU Linux中怎样得到一个进程当前的流量的更多相关文章

  1. Linux中强制结束一个进程的终极方法

    在 Linux Ubuntu 服务器上用 dnx 基于 Kestrel 成功运行一个 ASP.NET 5 站点后,怎么也无无法退出. 运行的命令如下: /data/git/dnx/artifacts/ ...

  2. 在Linux中要修改一个文件夹或文件的权限

    在Linux中要修改一个文件夹或文件的权限我们需要用到linux chmod命令来做,下面我写了几个简单的实例大家可参考一下. 语法如下: chmod [who] [+ | - | =] [mode] ...

  3. 在Linux中通过Top运行进程查找最高内存和CPU使用率

    按内存使用情况查找前15个进程,在批处理模式下为"top" 使用top命令查看有关当前状态,系统使用情况的更详细信息:正常运行时间,负载平均值和进程总数. 分类:Linux命令操作 ...

  4. linux中使用top获取进程的资源占用信息

    在linux中使用top获取进程的资源占用信息: Cpu(s):  1.0%us,  0.0%sy,  0.0%ni, 98.3%id,  0.7%wa,  0.0%hi,  0.0%si,  0.0 ...

  5. linux中内核的一个不错的参数somaxconn

    导读:在linux中,/proc/sys/net/core/somaxconn这个参数,linux中内核的一个不错的参数somaxconn 看下其解析: 对于一个TCP连接,Server与Client ...

  6. GNU Linux中的SO_RCVLOWAT和SO_SNDLOWAT说明

    /*********************************************************************  * Author  : Samson  * Date   ...

  7. GNU linux 中makefile那点事

    转自陈皓: http://bbs.chinaunix.net/viewthread.php?tid=408225 概述—— 什么是makefile?或许很多Winodws的程序员都不知道这个东西,因为 ...

  8. Linux中的程序和进程,PID和PPID

    环境:Vmware Workstation:CentOS-6.4-x86_64 程序和进程: 1.程序:程序是静止的,程序就是磁盘上的一个文件. 2.进程:进程是一个正在执行的程序的实例. 3.进程是 ...

  9. linux中如何对一个文件的内容进行处理,文件中每行有多个字段的值,中间用空格分隔开?

    需求描述: 今天在帮同事看个需求,将操作系统上的文件进行修改名字,改为特定的名字,所以呢,就先把这些原名字及对应的新名字关系放到了一个文本中,对于这个文本执行循环. 文件格式如下: .00000005 ...

随机推荐

  1. Android yuv转Bitmap

      YuvImage image = new YuvImage(data, ImageFormat.NV21, size.width, size.height, null); if(image!=nu ...

  2. MySQL——基本安装与使用

    基本安装 下载地址:https://dev.mysql.com/downloads/mysql/ 选择解压版本:mysql-5.7.21-winx64.zip 以管理员身份打开cmd(除了安装服务不要 ...

  3. intellij idea console 乱码

    修改文件 位置:{用户目录}\{iedea对应版本}\{idea or idea64}.vmoptions 比如我要修改我的配置文件 C:\Users\kkblf\.IntelliJIdea2017. ...

  4. jQuery.treetable使用及异步加载

    Usage 1 GitHub 地址 https://github.com/ludo/jquery-treetable/ 2 API 地址 http://ludo.cubicphuse.nl/jquer ...

  5. HDU多校Round 1

    Solved:5 rank:172 A.Maximum Multiple #include <stdio.h> #include <algorithm> #include &l ...

  6. HDU6189 Law of Commutation (数论)

    题意:输入n和a 定义m等于2的n次方 求1-m有多少数使得 a^b = b^a (mod m) 题解:先打表找规律 发现a为奇数的答案只有b = a这一种 (不知道为什么也不想知道为什么 当a为偶数 ...

  7. 【Hadoop】四、HDFS的java接口

      Hadoop是用java语言实现的,因此HDFS有很好的java接口用以编程,重点就是Hadoop的FileSystem类,它是所有文件系统的抽象类,HDFS实例(DistributedFileS ...

  8. mysql如何将一个字段多个类型串成一个字符串?

    结论 先说结论,可以使用group_concat group by的组合实现多行变一行,将一个字段的多个类型串成一个字段 需求: 如题,一个字段如电影类别,一部电影可以是多个类别,如喜剧.动作片等,其 ...

  9. java学习日志--char和int的相互转换

    package shugen; /*ASCLL码表 * 48 数字0 * 49 1 * 50 2 * 51 3 * 52 4 * 53 5 * 54 6 * 55 7 * 56 8 * 57 9 */ ...

  10. 第八节:web爬虫之urllib(四)

    第三个 模块parse : 是一个工具模块,提供了许多 URL 处理方法,比如拆分.解析.合并等等的方法.