首先,在您的平台上安装auditd框架,并确保auditctl -l返回一些内容,即使它声明没有定义任何规则.

然后,添加规则以观察系统调用套接字()并标记它以便以后轻松查找(-k).我需要假设您使用的是64位架构,但如果不是,则可以用b32代替b64.

auditctl -a exit,always -F arch=b64 -F a0=2 -F a1\&=2 -S socket -k SOCKET

你必须选择手册页和头文件来构建它,但它捕获的内容本质上是这个系统调用：socket(PF_INET,SOCK_DGRAM | X,Y),其中第三个参数未指定但经常为零. PF_INET为2,SOCK_DGRAM为2. TCP连接将使用SOCK_STREAM,它将设置a1 = 1. (第二个参数中的SOCK_DGRAM可以与SOCK_NONBLOCK或SOCK_CLOEXEC进行OR运算,因此& =比较.)-k SOCKET是我们稍后搜索审计跟踪时要使用的关键字.它可以是任何东西,但我喜欢保持简单.

让我们过一会儿,回顾一下审计线索.或者,您可以通过在网络上ping主机来强制执行几个数据包,这将导致发生DNS查找,这将使用UDP,这应该会使审计警报跳闸.

ausearch -i -ts today -k SOCKET

将出现类似于以下部分的输出.我正在缩略它以突出重要部分

type=SYSCALL ... arch=x86_64 syscall=socket success=yes exit=1 a0=2 a1=2 ... pid=14510 ... auid=zlagtime uid=zlagtime ... euid=zlagtime ... comm=ping exe=/usr/bin/ping key=SOCKET

在上面的输出中,我们可以看到ping命令导致套接字被打开.然后我可以在进程上运行strace -p 14510,如果它还在运行的话.如果它是一个产生问题孩子的脚本,也会列出ppid(父进程ID).

现在,如果你有很多UDP流量,这不会很好,你将不得不求助于OProfile或SystemTap,这两者目前都超出了我的专业水平.

这应该有助于在一般情况下缩小范围.

完成后,使用您用于创建审计规则的同一行删除审计规则,只替换-a和-d.

auditctl -d exit,always -F arch=b64 -F a0=2 -F a1\&=2 -S socket -k SOCKET