Linux 系统中，有什么监控工具可以一直监控系统中的流量，匹配到某些特征后自动定位发起流量的进程？

可以用 strace 实现一个小工具

你是不是在寻找 ebpf ？/doge

@xucancan strace 确实可以实现这样的功能，通过跟踪进程的流量日志，我想实现的是从流量特征定位具体进程，strace 所有进程我先去研究一下，感谢提示。还有一个工具可能跟 strace 相似，不过梗简便，就是 yara 。

有个叫 zeek 的流量分析工具，可以通过写 lua 脚本来进行流量分析

hook linux 系统 dns 接口

iftop 能监听流量，看到是什么 ip 什么端口的流量，不知道适不适合你的场景

@Supershell yara 可以吗？我咋感觉 yara 不行。

@Supershell 个人的浅薄理解仅供参考
到了网络传输层面操作系统的进程信息是丢失的，举个例子，从路由器层面可以观测到主机哪个主机对哪些域名进行访问（ dns 查询数据是明文的），但不包含进程相关的信息，因为网络通讯和进程属于两个不同的域，上下文是不互通的，也确实不需要
横向比较，题主目的有点像 GFW 识别翻墙流量，有从流量特征层面识别的方法，例如 LTS in LTS 的包长度特征，或者代理协议的握手特征，但这都是基于“明确证明目标”的，但对于你的场景可能问题都无法被描述

@Supershell 综上，我觉得首先要明确问题的解决域，它是操作系统和网络交集区域，那么对于 Linux 来讲就是系统内核了，所以 strace 、epbf 这类工具看起来是比较合适的

知道恶意的域名就好说了，tcpstat 或者 tcpdump 根据域名 ip 写一下 filter expression ，然后只要检测到输出就 hook 到 netstat 或者 ss 上，然后输出那一瞬间的所有 socket 的端口，通信和进程信息，应该足够用了。应该用不到 strace ，epbf 这类内核工具，感觉写个 Shell script 就够用了。

我自己就拿 tcpstat 和 chart.js 写过一个把流量按端口，网卡（默认和 vpn 虚拟网卡等等)，IP 等等信息分类显示的网页小组件，用来分辨 nas 上 bt,nginx,samba,webdav 等各种流量以及各种用户的实时速度，这种思路是可行的而且效果还行。

https://my.oschina.net/u/3681970/blog/9698278
长期监控 现在流行可观测性

短期分析 strace,bcc sslsniff,ecapture

https://github.com/iovisor/bcc/blob/master/tools/gethostlatency.py
有现成的工具

@xucancan 确实如你所说，本是两个维度的事情，没有关联性，无法从流量上面关联进程，我想只能主动监听所有系统进程来实现我的需求，不过这样对主机的资源性能就不友好了。相当于装了一个杀软，实时监控系统进程，但这样就有点重，如果能有个轻量级的就好了。

如果要不漏的获取每一个，应该就是 ebpf 这种了。一般发包用的是进程的上下文，ebpf 过滤到特定报文的时候，获取下当前进程号，如果不是常驻进程，还要获取 cmd 之类的？至少要知道执行的哪个文件吧。

tcpdump 再用 ss 分析，也是可以的，但是可能会漏。毕竟有个延迟，可能请求的进程已经不在了

用 ebpf 这种，性能应该不是什么大的问题，性能影响相当于多加了一条 iptables 规则

https://github.com/iovisor/bpftrace/blob/master/tools/gethostlatency.bt
bpftrace gethostlatency.bt
这个也可以