Linuxシステムで実行されているプロセスまたはサービスがリモートIPに接続されているかどうかを識別するのが困難です。リモートIPポート80 HTTP Tomcat管理ページにアクセスするネットワークに関する苦情が届きました。
以下のtcpdumpを使用して、苦情を受け取ったIPアドレスに送信する要求が行われていることがわかりましたが、どのプロセスが要求を生成したかを判断できませんでした。
tcpdump -vvv -i ens192 src 192.168.23.4 および dst ポート 80
Linux centos7環境で特定のIPに接続しようとするプロセスを見つける方法
答え1
auditd
すべてのconnect()
システムコールを記録できます。
sudo auditctl -a exit,always -F arch=b64 -S connect
次に接続を観察し、次を使用してログを取得します。
sudo ausearch -i -sc connect | grep -wC2 lport=80
答え2
役に立つツールがいくつかあります。 ntstatが私の最初の選択になります
netstat -ltnp | grep -w ':80'
兆候が役立ちます
l – netstatにリスニングソケットのみを表示するように指示します。 p - プロセスIDとプロセス名の表示を許可します。
また試してみてください
lsof -i :80
またはpsmisc(まだテストされていません)。