知道恶意的域名就好说了，tcpstat 或者 tcpdump 根据域名 ip 写一下 filter expression ，然后只要检测到输出就 hook 到 netstat 或者 ss 上，然后输出那一瞬间的所有 socket 的端口，通信和进程信息，应该足够用了。应该用不到 strace ，epbf 这类内核工具，感觉写个 Shell script 就够用了。

我自己就拿 tcpstat 和 chart.js 写过一个把流量按端口，网卡（默认和 vpn 虚拟网卡等等)，IP 等等信息分类显示的网页小组件，用来分辨 nas 上 bt,nginx,samba,webdav 等各种流量以及各种用户的实时速度，这种思路是可行的而且效果还行。