父进程洞察

使用场景

• 在捕获到远程主机的流量时，公开负责网络活动的父命令。
• 反映 test_parent_info.sh 中的断言，该断言可确保父元数据与子进程详细信息一起传播。
• 将网络活动追溯到其始发脚本或更高级别的进程，而不仅仅是直接的子进程。
• 为安全审计或合规性目的识别网络请求的完整执行链。
• 调试子进程从其父进程继承网络功能的复杂应用程序行为。

命令

sudo ptcpdump -i any 'dst host 1.1.1.1'

从 shell 启动 curl -m 10 1.1.1.1。生成的输出包括 curl 进程及其启动父进程（例如，shell 脚本），使您能够将数据包与更高级别的工作流控制器联系起来。使用 ptcpdump -r 重放保存的捕获会保持父元数据不变。

输出示例

14:50:19.032537 ens33 curl.253365 Out IP 10.0.2.15.49650 > 1.1.1.1.80: Flags [S], seq 1688479772, win 64240, options [mss 1460,sackOK,TS val 2313046548 ecr 0,nop,wscale 7], length 0, ParentProc [bash.217538]