找到正在轮询我的端口的短暂进程?

tag-icon tag-icon linux process netstat strace
找到正在轮询我的端口的短暂进程?

我注意到网络中的一台无头计算机不断轮询另一台计算机上的 VNC 端口。我的问题是,当我看到它连接的端口(使用 tcpdump)并尝试使用 查找进程时netstat -anp|grep PORT,该进程已经被终止并且什么也没有找到(该进程似乎存活了不到一毫秒)。

有没有类似于 tcpdump 的东西可以报告进程名称和 PID?或者一些聪明的方法来执行 strace 来捕获程序?

答案1

尝试auditctl,它会有所帮助。启用以下规则可能会淹没您的系统,因此仅使用表单调试。

auditctl -a exit,always -S execve

参考 :https://linux.die.net/man/8/auditctl

答案2

另一种选择是使用sysdig。这样,您就可以监视涉及到特定端口的连接的系统调用。例如,假设 VNC 服务器正在侦听端口 5901:

$ sudo sysdig and fd.sip=<SERVER_IP> and fd.sport=5901

这将为与给定端口上的给定 SERVER_IP 交互的任何进程生成输出。默认情况下它将包含进程名称和 pid。这用户指南包括有关可用过滤器以及输出中可以包含哪些信息的更多信息。

相关内容