我如何识别哪个进程在linux上进行UDP流量？

概述我的机器不断发出udp dns流量请求.我需要知道的是产生这种流量的过程的PID. TCP连接的常规方法是使用netstat / lsof并获取与pid相关联的进程. UDP是连接是状态,因此,当我调用netastat / lsof时,只有打开UDP套接字并且它正在发送流量时才能看到它. 我已尝试使用lsof -i UDP和nestat -anpue,但我无法找到进程正在执行该请求,因为我需要在发 我的机器不断发出udp dns流量请求.我需要知道的是产生这种流量的过程的PID.

TCP连接的常规方法是使用netstat / lsof并获取与pID相关联的进程.

UDP是连接是状态,因此,当我调用netastat / lsof时,只有打开UDP套接字并且它正在发送流量时才能看到它.

我已尝试使用lsof -i UDP和nestat -anpue,但我无法找到进程正在执行该请求,因为我需要在发送udp流量时完全调用lsof / netstat,如果我在/之前调用lsof / netstat在发出udp数据报后,无法查看打开的UDP套接字.

当发送3/4 udp数据包时,调用netstat / lsof是不可能的.

我如何识别臭名昭着的过程？我已经检查了流量,试图从数据包的内容中识别出已发送的PID,但是无法从流量的对象中识别它.

有人可以帮帮我吗？

我是这台机器的根源FEDORA 12 Linux noise.company.lan 2.6.32.16-141.fc12.x86_64#1 SMP Wed Jul 7 04:49:59 UTC 2010 x86_64 x86_64 x86_64 GNU / linux

解决方法 linux审计可以提供帮助.它至少会定位用户和进程进行数据报网络连接. UDP数据包是数据报.

首先,在您的平台上安装auditd框架,并确保auditctl -l返回一些内容,即使它声明没有定义任何规则.

然后,添加规则以观察系统调用套接字()并标记它以便以后轻松查找(-k).我需要假设您使用的是64位架构,但如果不是,则可以用b32代替b64.

auditctl -a exit,always -F arch=b64 -F a0=2 -F a1\&=2 -S socket -k SOCKET

你必须选择手册页和头文件来构建它,但它捕获的内容本质上是这个系统调用：socket(PF_INET,SOCK_DGRAM | X,Y),其中第三个参数未指定但经常为零. PF_INET为2,SOCK_DGRAM为2. TCP连接将使用SOCK_STREAM,它将设置a1 = 1. (第二个参数中的SOCK_DGRAM可以与SOCK_NONBLOCK或SOCK_CLOEXEC进行OR运算,因此& =比较.)-k SOCKET是我们稍后搜索审计跟踪时要使用的关键字.它可以是任何东西,但我喜欢保持简单.

让我们过一会儿,回顾一下审计线索.或者,您可以通过在网络上Ping主机来强制执行几个数据包,这将导致发生DNS查找,这将使用UDP,这应该会使审计警报跳闸.

ausearch -i -ts today -k SOCKET

将出现类似于以下部分的输出.我正在缩略它以突出重要部分

type=SYSCALL ... arch=x86_64 syscall=socket success=yes exit=1 a0=2 a1=2 ... pID=14510 ... auID=zlagtime uID=zlagtime ... euID=zlagtime ... comm=Ping exe=/usr/bin/Ping key=SOCKET

在上面的输出中,我们可以看到Ping命令导致套接字被打开.然后我可以在进程上运行strace -p 14510,如果它还在运行的话.如果它是一个产生问题孩子的脚本,也会列出ppID(父进程ID).

现在,如果你有很多UDP流量,这不会很好,你将不得不求助于OProfile或SystemTap,这两者目前都超出了我的专业水平.

这应该有助于在一般情况下缩小范围.

完成后,使用您用于创建审计规则的同一行删除审计规则,只替换-a和-d.

auditctl -d exit,always -F arch=b64 -F a0=2 -F a1\&=2 -S socket -k SOCKET

总结

以上是内存溢出为你收集整理的我如何识别哪个进程在linux上进行UDP流量？全部内容，希望文章能够帮你解决我如何识别哪个进程在linux上进行UDP流量？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。