Назад | Перейти на главную страницу

Некоторая программа устанавливает соединение с неизвестной подсетью, но не может найти процесс, который инициирует соединение

У нас есть сервер, который выполняет множество исходящих подключений к определенной подсети, я не могу узнать, какой процесс это делает.

Я мог видеть соединения в tcdump -

[root@something ~]# tcpdump -i ens192 -v | grep 26379
tcpdump: listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
    hosname.sometohing.43494 > 172.31.20.63.26379: Flags [S], cksum 0xe734 (incorrect -> 0xe6c9), seq 258461406, win 26720, options [mss 1336,sackOK,TS val 1947447040 ecr 0,nop,wscale 7], length 0
    hosname.sometohing.43494 > 172.31.20.63.26379: Flags [S], cksum 0xe734 (incorrect -> 0xe2dd), seq 258461406, win 26720, options [mss 1336,sackOK,TS val 1947448044 ecr 0,nop,wscale 7], length 0
    hosname.sometohing.37346 > 172.31.42.22.26379: Flags [S], cksum 0xfd0b (incorrect -> 0x5843), seq 1954738294, win 26720, options [mss 1336,sackOK,TS val 1947449600 ecr 0,nop,wscale 7], length 0
    hosname.sometohing.37454 > 172.31.42.22.26379: Flags [S], cksum 0xfd0b (incorrect -> 0xe93e), seq 1610576711, win 26720, options [mss 1336,sackOK,TS val 1947449675 ecr 0,nop,wscale 7], length 0
    hosname.sometohing.43494 > 172.31.20.63.26379: Flags [S], cksum 0xe734 (incorrect -> 0xdb09), seq 258461406, win 26720, options [mss 1336,sackOK,TS val 1947450048 ecr 0,nop,wscale 7], length 0

Я пытаюсь выполнить lsof, чтобы увидеть, что что-то находит, но ничего в течение 2 минут, но tcpdump продолжает печатать, что хост отправляет трафик.

while true; do lsof -i | grep 172.31;done

А потом netstat со всеми возможными переключателями. antp, vunp, vutp, e, o и все, что я мог придумать. Я не вижу выхода.

Буду очень благодарен за помощь.

Установить bpf-tools и беги tcpconnect. Каждый connect () будет отслеживаться, чтобы получить его PID и COMM, что на самом деле легче по сравнению с захватом пакетов.

Также возьмите захват пакета, запустите его через Wireshark и посмотрите, какие протоколы обнаруживаются диссекторами.

Раньше у меня не было этой проблемы, но я надеюсь, что netstat поможет вам. Попробуйте бежать 

  netstat -tup

Это покажет вам список соединений TCP и UDP. Мы надеемся, что последний столбец покажет вам имя PID / программы, чтобы вы могли идентифицировать связанный процесс.