Red Hat Training

A Red Hat training course is available for RHEL 8

53.4. 発信 TCP 接続試行の追跡

tcpconnect ユーティリティーは、eBPF 機能を使用して発信 TCP 接続の試行を追跡します。ユーティリティーの出力には、失敗した接続も含まれます。

tcpconnect ユーティリティーは、パケットを取得してフィルタリングするのではなく、カーネルの connect() 関数などを追跡するため、軽量です。

手順

  1. 以下のコマンドを入力し、すべての発信接続を表示する追跡プロセスを開始します。

    # /usr/share/bcc/tools/tcpconnect
    PID    COMM         IP SADDR      DADDR          DPORT
    31346  curl         4  192.0.2.1  198.51.100.16  80
    31348  telnet       4  192.0.2.1  203.0.113.231  23
    31361  isc-worker00 4  192.0.2.1  192.0.2.254    53
    ...

    カーネルが発信接続を処理するたびに、tcpconnect は、接続の詳細を表示します。

  2. Ctrl+C を押して、追跡プロセスを停止します。

関連情報

  • 詳細は、man ページの tcpconnect(8) を参照してください。
  • tcpconnect および例の詳細は、/usr/share/bcc/tools/doc/tcpconnect_example.txt ファイルを参照してください。
  • tcpconnect(8) がカーネルにアップロードする eBPF スクリプトを表示するには、/usr/share/bcc/tools/tcpconnect --ebpf コマンドを実行します。