ポート80から発信接続を作成するプロセスを探す

ポート80から発信接続を作成するプロセスを探す

Linuxシステムで実行されているプロセスまたはサービスがリモートIPに接続されているかどうかを識別するのが困難です。リモートIPポート80 HTTP Tomcat管理ページにアクセスするネットワークに関する苦情が届きました。

以下のtcpdumpを使用して、苦情を受け取ったIPアドレスに送信する要求が行われていることがわかりましたが、どのプロセスが要求を生成したかを判断できませんでした。

tcpdump -vvv -i ens192 src 192.168.23.4 および dst ポート 80

Linux centos7環境で特定のIPに接続しようとするプロセスを見つける方法

答え1

auditdすべてのconnect()システムコールを記録できます。

sudo auditctl -a exit,always -F arch=b64 -S connect

次に接続を観察し、次を使用してログを取得します。

sudo ausearch -i -sc connect | grep -wC2 lport=80

答え2

役に立つツールがいくつかあります。 ntstatが私の最初の選択になります

netstat -ltnp | grep -w ':80' 

兆候が役立ちます

l – netstatにリスニングソケットのみを表示するように指示します。 p - プロセスIDとプロセス名の表示を許可します。

また試してみてください

 lsof -i :80

またはpsmisc(まだテストされていません)。

関連情報