Red Hat Training

A Red Hat training course is available for RHEL 8

49.4. Rastreamento de tentativas de conexão TCP de saída

O utilitário tcpconnect usa recursos do eBPF para rastrear tentativas de conexão TCP de saída. A saída do utilitário também inclui conexões que falharam.

O utilitário tcpconnect é leve porque traça, por exemplo, a função connect() do kernel em vez de capturar os pacotes e filtrá-los.

Procedimento

  1. Digite o seguinte comando para iniciar o processo de rastreamento que exibe todas as conexões de saída:

    # /usr/share/bcc/tools/tcpconnect
    PID    COMM         IP SADDR      DADDR          DPORT
    31346  curl         4  192.0.2.1  198.51.100.16  80
    31348  telnet       4  192.0.2.1  203.0.113.231  23
    31361  isc-worker00 4  192.0.2.1  192.0.2.254    53
    ...

    Cada vez que o núcleo processa uma conexão de saída, tcpconnect exibe os detalhes das conexões.

  2. Pressione Ctrl C para interromper o processo de rastreamento.

Recursos adicionais

  • Para mais detalhes, consulte a página de manual tcpconnect(8).
  • Para mais detalhes sobre tcpconnect e exemplos, veja o arquivo /usr/share/bcc/tools/doc/tcpconnect_example.txt.
  • Para exibir o script eBPF tcpconnect(8) uploads para o kernel, use o comando /usr/share/bcc/tools/tcpconnect --ebpf.