我尝试使用netstat和 进行循环,但数据包很小且不频繁,因此没有被捕获(仍然可以使用 看到它们tcpdump)。需要知道哪个进程发送了这些数据包。
答案1
检查tcpdump数据包的源端口号。然后运行
sudo netstat -a -u -n --program
查找PID/Program name匹配的源端口号。
这假设发送进程在发送之间保持套接字打开,这是任何正常程序都会做的。如果你正在处理一个故意试图隐藏自身的程序,那就完全是另一回事了。
答案2
我想应该可以QUEUE目标iptables。但您需要编写一个用户空间应用程序来“检查”这些数据包(并且此应用程序可以帮助您了解哪个进程发送了这些数据包)。抱歉,我没有更多详细信息。