我们怀疑我们的服务器中有远程访问工具,我们想监控往返于目标地址的流量。我们需要知道进程的 ID。我们想调查哪个进程与可疑的源 IP 地址建立了连接
答案1
你可以得到 nethogs
sudo apt-get nethogs
它将获取流量使用情况、PID 和 IP。
之后你可以做一个
sudo tcpdump -i ethX host x.x.x.x -w output.pcap
然后在 wireshark 中打开该文件。
答案2
如果您知道传入地址或主机名,请使用 lsof 和 grep
lsof -i|grep <host>或者lsof -i|grep <address>
这将向您显示进程、PID 和用户。