Red Hat Training

A Red Hat training course is available for RHEL 8

49.4. Seguimiento de los intentos de conexión TCP saliente

La utilidad tcpconnect utiliza las características de eBPF para rastrear los intentos de conexión TCP salientes. La salida de la utilidad también incluye las conexiones que fallaron.

La utilidad tcpconnect es ligera porque rastrea, por ejemplo, la función connect() del kernel en lugar de capturar paquetes y filtrarlos.

Procedimiento

  1. Introduzca el siguiente comando para iniciar el proceso de rastreo que muestra todas las conexiones salientes:

    # /usr/share/bcc/tools/tcpconnect
    PID    COMM         IP SADDR      DADDR          DPORT
    31346  curl         4  192.0.2.1  198.51.100.16  80
    31348  telnet       4  192.0.2.1  203.0.113.231  23
    31361  isc-worker00 4  192.0.2.1  192.0.2.254    53
    ...

    Cada vez que el núcleo procesa una conexión saliente, tcpconnect muestra los detalles de las conexiones.

  2. Pulse Ctrl C para detener el proceso de rastreo.

Recursos adicionales

  • Para más detalles, consulte la página de manual tcpconnect(8).
  • Para más detalles sobre tcpconnect y ejemplos, consulte el archivo /usr/share/bcc/tools/doc/tcpconnect_example.txt.
  • Para mostrar la secuencia de comandos eBPF tcpconnect(8) carga al núcleo, utilice el comando /usr/share/bcc/tools/tcpconnect --ebpf.