Linux
某些程序正在連接到未知子網,但找不到啟動連接的程序
我們有一台伺服器正在與特定子網建立大量出站連接,我無法找出正在建立它的程序。
我可以看到 tcdump 中的連接 -
[root@something ~]# tcpdump -i ens192 -v | grep 26379 tcpdump: listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes hosname.sometohing.43494 > 172.31.20.63.26379: Flags [S], cksum 0xe734 (incorrect -> 0xe6c9), seq 258461406, win 26720, options [mss 1336,sackOK,TS val 1947447040 ecr 0,nop,wscale 7], length 0 hosname.sometohing.43494 > 172.31.20.63.26379: Flags [S], cksum 0xe734 (incorrect -> 0xe2dd), seq 258461406, win 26720, options [mss 1336,sackOK,TS val 1947448044 ecr 0,nop,wscale 7], length 0 hosname.sometohing.37346 > 172.31.42.22.26379: Flags [S], cksum 0xfd0b (incorrect -> 0x5843), seq 1954738294, win 26720, options [mss 1336,sackOK,TS val 1947449600 ecr 0,nop,wscale 7], length 0 hosname.sometohing.37454 > 172.31.42.22.26379: Flags [S], cksum 0xfd0b (incorrect -> 0xe93e), seq 1610576711, win 26720, options [mss 1336,sackOK,TS val 1947449675 ecr 0,nop,wscale 7], length 0 hosname.sometohing.43494 > 172.31.20.63.26379: Flags [S], cksum 0xe734 (incorrect -> 0xdb09), seq 258461406, win 26720, options [mss 1336,sackOK,TS val 1947450048 ecr 0,nop,wscale 7], length 0
我正在嘗試 lsof 以查看是否找到了某些東西,但 2 分鐘內甚麼也沒有,但是 tcpdump 不斷列印該主機正在發送流量。
while true; do lsof -i | grep 172.31;done
然後 netstat 與所有可能的開關。
antp
,vunp
,vutp
,e
,o
以及我能想到的一切。我沒有看到任何輸出。我將非常感謝您的幫助。
安裝bpf-tools 並執行tcpconnect。每一個 connect() 都會被追踪以獲取它的 PID 和 COMM,與數據包擷取相比,這實際上是輕量級的。
還進行數據包擷取,通過 Wireshark 執行它,並查看解析器顯示了哪些協議。
我以前沒有遇到過這個問題,但我希望 netstat 會為您提供幫助。嘗試執行
netstat -tup
這將顯示一個 tcp 和 udp 連接列表。最後一列有望向您顯示 PID / 程序名稱,以便您辨識關聯的程序。