如题

早上发现联网之后什么都没打开就好多个链接在联网　 iftop -i wlan0 能看到目标网址 不知道怎么排查这些链接是那些程序创建的

知道端口的话，lsof -i:22 能看到 pid。
端口你可以用 netstat 或者 iftop 都看的出来的。
如何查看 Linux 系统的带宽流量
* 按网卡查看流量：ifstat、dstat -nf 或 sar -n DEV 1 2

按进程查看流量：nethogs
*
按连接查看流量：iptraf、iftop 或 tcptrack
*
查看流量最大的进程：sysdig -c topprocs_net
*
查看流量最大的端口：sysdig -c topports_server
*
查看连接最多的服务器端口：sysdig -c fdbytes_by fd.sport

ss -anp

它不是一直在联网 而是断断续续的隔一段时间联一下 不好找啊

几种思路
1. 一直抓包，看异常的端口号
2. 查是否有守护进程，没有的话查 cron job 之类的。
这个本质上就跟查后门一样的啊。

还有一种方法， 用 perf-tools，execsnoop opensnoop 之类的查查，查 syslog，装一个 auditd 查查。

ftrace 加个 kprobe 一直抓着就行了