Wie kann ich herausfinden, welcher Prozess Daten an einen bestimmten Port sendet?

Ich habe einen Dienst, der einen bestimmten Hafen offen hält.

Ich erhalte Daten, die ich weder erwarten noch erhalten möchte, und ich versuche, die Quelle dieser Daten genau zu bestimmen. Wie kann ich also herausfinden, welcher Prozess Daten an einen bestimmten Port sendet und welcher nicht.

Für TCP (obwohl der gleiche Ansatz für SCTP ¹ oder ein anderes verbindungsorientiertes Transportprotokoll funktionieren würde ), wie für die Suche nach empfangsbereiten Protokollen:

lsof -nPi tcp:the-port

Meldet die Prozesse, bei denen ein TCP-Socket an diesem Port geöffnet ist. Wenn Sie den Quellport kennen (Ihre Serveranwendung kann ihn kennen und protokollieren), können Sie ihn stattdessen verwenden, um den nicht autorisierten Client zu lokalisieren.

Für UDP- oder RAW-Sockets wäre es schwieriger, obwohl ich annehme, dass hier etwas wie systemtap oder dtrace nützlich sein kann. Möglicherweise auch auditiert.

¹ Obwohl die SCTP-Unterstützung (nur unter Linux) lsofin Version 4.86 hinzugefügt wurde , können Sie -iSCTP-Sockets nicht explizit anfordern. Hier kann lsof -nP | grep -w 'SCTP.*:the-port'stattdessen eine Heuristik verwendet werden.

Versuchen Sie Folgendes:

$sudo ss -tp

Oder:

$sudo netstat -A inet -p

So vermeiden Sie localhost-Ergebnisse:

$sudo netstat -A inet -p | grep -v localhost

So listen Sie nur HERGESTELLTE Verbindungen auf:

$sudo netstat -A inet -p | grep -v localhost | grep ESTABLISHED

Abhängig von der Art der Verbindung, die zum Senden von Daten hergestellt wird, bringt Sie einer dieser Ansätze an einen bestimmten Ort.

• Hiermit tcpdump port 1234erfassen Sie die Daten, die an diesen Port gesendet werden. Sie können ein Programm wie Wireshark verwenden, um es auf einem anderen Computer zu analysieren (mit der -wOption in einer Datei erfasst ). Alternativ können Sie Wireshark auch direkt verwenden.

• Falls eine TCP / UDP-Verbindung hergestellt und geöffnet bleibt netstat, können Sie die Remote-IP- Adresse der Verbindung ermitteln.

• Listen Sie die offenen Sockets eines Prozesses wie in der Antwort von @StephaneChazelas angegeben auf.

Sie können den sockstatBefehl verwenden, um den Prozess zu finden, der die Verbindung zu Ihrem Dienst auf dem lokalen Host initiiert hat.

DESCRIPTION
     The sockstat command lists open Internet or UNIX domain sockets.

Ordnen Sie einfach alle Quellverbindungen Ihrem Ziel zu. Dies funktioniert gut für TCP / UDP / UNIX-Sockets.

Unter Solaris sollte durch Ausführen von pfiles auf allen Prozessen angezeigt werden, welche Prozesse welche Verbindungen geöffnet haben. Es erfordert einige sorgfältige Bearbeitung, wahrscheinlich unter Verwendung der Optionen -A, -B von ggrep ...

Unter Linux netstat -anp --inetfunktioniert es auch ohne lsof. (Lassen Sie das fallen --inet, um auch Unix-Domain-Sockets zu erhalten.)