检查传出网络流量

我会推荐网络传输或者 伊夫托普如果你不需要那么多功能。从iptraf主页：

IPTraf 是一个基于控制台的 Linux 网络统计实用程序。它收集各种数据，例如 TCP 连接数据包和字节计数、接口统计数据和活动指标、TCP/UDP 流量细分以及 LAN 站数据包和字节计数。特征

• IP 流量监视器，显示有关通过网络的 IP 流量的信息。包括 TCP 标志信息、数据包和字节计数、ICMP 详细信息、OSPF 数据包类型。
• 一般和详细的接口统计数据，显示 IP、TCP、UDP、ICMP、非 IP 和其他 IP 数据包计数、IP 校验和错误、接口活动、数据包大小计数。
• TCP 和 UDP 服务监视器显示常见 TCP 和 UDP 应用程序端口的传入和传出数据包计数
• LAN 统计模块，用于发现活动主机并显示统计数据，显示这些主机上的数据活动
• TCP、UDP 和其他协议显示过滤器，允许您仅查看您感兴趣的流量。
• 记录
• 支持以太网、FDDI、ISDN、SLIP、PPP 和环回接口类型。
• 利用 Linux 内核的内置原始套接字接口，使其可以在各种支持的网卡上使用。
• 全屏、菜单驱动的操作。

iptraf主菜单截图：

这是 iftop 的屏幕截图：

您可以使用 tcpdump 保存传出数据，但那是所以大部分（其中大部分是加密的）它不会有任何实际用途。

比事后查明自己是如何被盗窃更好的是让盗窃变得更加困难......检查安装的内容，确保它是最新的，删除不需要的东西，摆脱非官方软件（和存储库），配置本地防火墙，不要禁用 SELinux 或类似的安全性，使用良好的密码，小心您访问的网站，一切正常的卫生。

诸如此类的事情兄弟入侵检测系统将分析通过网络接口的流量并记录各种信息，例如连接及其流量、找到的协议和每个协议的信息（例如 HTTP 请求、发送的邮件、DNS 请求、SSL 证书通用名称...）。但它不会告诉您哪个应用程序执行了此操作（除了通过记录用户代理（如 HTTP 浏览器））。因为它会嗅探数据包，所以如果它无法跟上正在交换的数据量，它可能会丢失一些数据（尽管它会报告是否有）。

conntrackd可用于记录状态防火墙跟踪的每个连接以及交换的数据量。无论通过系统的数据量有多少，它都可以工作，但如果从 netfilter 或原始套接字流量中排除，则不会报告未通过防火墙的数据，例如桥接流量。

您还可以使用防火墙规则来使用 LOG 目标或 ULOG 目标与ulogd.

要记录连接的 pid，您需要使用审核系统 ( auditd/ auditctl)，但这会非常冗长且不易分析。