私のポートをポーリングする一時的なプロセスをお探しですか?

私のポートをポーリングする一時的なプロセスをお探しですか?

ネットワーク上のヘッドレスシステムの1つが、別のシステムのVNCポートをポーリングし続けることを発見しました。私の問題は、接続ポートを見て(tcpdumpを使用して)プロセスファインダーを使用しようとすると、netstat -anp|grep PORTプロセスが終了して何も見つからないことです(プロセスが1ミリ秒未満の間生きているようです)。

プロセス名とPIDを報​​告するtcpdumpに似たものはありますか?それとも、プログラムをキャプチャするためにstraceを実行する賢い方法がありますか?

答え1

auditctlを試してください。役に立ちます。次のルールを有効にするとシステムが超過する可能性があるため、フォームのデバッグのみを使用してください。

auditctl -a exit,always -S execve

引用:https://linux.die.net/man/8/auditctl

答え2

別のオプションは、次のものを使用することです。sysdig。これにより、特定のポートへの接続に関連するシステムコールを監視できます。たとえば、VNCサーバーがポート5901でリッスンしているとします。

$ sudo sysdig and fd.sip=<SERVER_IP> and fd.sport=5901

これは、指定されたポートで指定されたSERVER_IPと対話するすべてのプロセスの出力を生成します。デフォルトでは、プロセス名とpidが含まれています。これユーザーマニュアル利用可能なフィルタに関する詳細情報と出力に含めることができる情報が含まれています。

関連情報