昨日、コンピュータのIPTABLESエクスポートログを確認していたところ、次の内容が見つかりました。
IN= OUT=eth0 SRC=192.168.1.1 DST=69.46.36.10 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=12345 DF PROTO=TCP SPT=56789 DPT=4000 WINDOW=292
よく知られているリストを確認した後TCPポート、Diablo IIゲームでのみポートを使用してください。4000。私のコンピュータにゲームがインストールされていません。試しましたが、そのポートに接続できる他のサービスが何であるかはわかりません。
昨日起こったので、を使用した場合、netstatおそらく一日中画面を見て、実行中のサービスをキャプチャしたでしょう。特定のポートにどのプログラムやユーザーが接続されているかを確認するより良い方法はありますか?
答え1
監査システムを使用して、すべてのconnect()システム呼び出しを記録できます。
sudo auditctl -a exit,always -F arch=b64 -S connect -k connectLog
sudo auditctl -a exit,always -F arch=b32 -S connect -k connectLog
その後、次を検索できます。
sudo ausearch -i -k connectLog -w --host 69.46.36.10
これにより、次のような内容が表示されます。
type=SOCKADDR msg=audit(02/09/14 12:31:57.966:60482) : saddr=inet host:69.46.36.10 serv:4000
type=SYSCALL msg=audit(02/09/14 12:31:57.966:60482) : arch=x86_64 syscall=connect success=no exit=-4(Interrupted system call) a0=0x3 a1=0x20384b0 a2=0x10 a3=0x7fffbf8c9540 items=0 ppid=21712 pid=25423 auid=stephane uid=stephane gid=stephane euid=stephane suid=stephane fsuid=stephane egid=stephane sgid=stephane fsgid=stephane tty=pts5 ses=4 comm=telnet exe=/usr/bin/telnet.netkit key=connect
grm.feedjit.comところで、iPhoneが400xポートのIPアドレスを確認して接続しようとしました。
答え2
特定の目的でgrep使用netstatポート。時間遅延がある無限期間を確認するには、次のコマンドを使用できます。
while($1); do netstat -anp | grep :80; sleep 1s;done > output.txt