Linux

某些程序正在連接到未知子網,但找不到啟動連接的程序

  • November 16, 2019

我們有一台伺服器正在與特定子網建立大量出站連接,我無法找出正在建立它的程序。

我可以看到 tcdump 中的連接 -

[root@something ~]# tcpdump -i ens192 -v | grep 26379
tcpdump: listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
   hosname.sometohing.43494 > 172.31.20.63.26379: Flags [S], cksum 0xe734 (incorrect -> 0xe6c9), seq 258461406, win 26720, options [mss 1336,sackOK,TS val 1947447040 ecr 0,nop,wscale 7], length 0
   hosname.sometohing.43494 > 172.31.20.63.26379: Flags [S], cksum 0xe734 (incorrect -> 0xe2dd), seq 258461406, win 26720, options [mss 1336,sackOK,TS val 1947448044 ecr 0,nop,wscale 7], length 0
   hosname.sometohing.37346 > 172.31.42.22.26379: Flags [S], cksum 0xfd0b (incorrect -> 0x5843), seq 1954738294, win 26720, options [mss 1336,sackOK,TS val 1947449600 ecr 0,nop,wscale 7], length 0
   hosname.sometohing.37454 > 172.31.42.22.26379: Flags [S], cksum 0xfd0b (incorrect -> 0xe93e), seq 1610576711, win 26720, options [mss 1336,sackOK,TS val 1947449675 ecr 0,nop,wscale 7], length 0
   hosname.sometohing.43494 > 172.31.20.63.26379: Flags [S], cksum 0xe734 (incorrect -> 0xdb09), seq 258461406, win 26720, options [mss 1336,sackOK,TS val 1947450048 ecr 0,nop,wscale 7], length 0

我正在嘗試 lsof 以查看是否找到了某些東西,但 2 分鐘內甚麼也沒有,但是 tcpdump 不斷列印該主機正在發送流量。

while true; do lsof -i | grep 172.31;done

然後 netstat 與所有可能的開關。antp, vunp, vutp, e,o以及我能想到的一切。我沒有看到任何輸出。

我將非常感謝您的幫助。

安裝bpf-tools 並執行tcpconnect。每一個 connect() 都會被追踪以獲取它的 PID 和 COMM,與數據包擷取相比,這實際上是輕量級的。

還進行數據包擷取,通過 Wireshark 執行它,並查看解析器顯示了哪些協議。

我以前沒有遇到過這個問題,但我希望 netstat 會為您提供幫助。嘗試執行

 netstat -tup

這將顯示一個 tcp 和 udp 連接列表。最後一列有望向您顯示 PID / 程序名稱,以便您辨識關聯的程序。

引用自:https://serverfault.com/questions/992050