是否可以检查 Debian 服务器中哪个应用程序正在请求特定端口?我在 iptraf 中收到大量此类信息:
xx UDP(77 字节)从 172.16.0.2:25748 到 eth0 上的 212.59.1.1:53
xx UDP(105 字节)从 eth0 上的 212.59.1.1:53 到 eth0 上的 172.16.0.2:25748
xx UDP(77 字节)从 eth0 上的 172.16.0.2:15956 到 eth0 上的 212.59.1.1:53
xx UDP(93 字节)从 eth0 上的 212.59.1.1:53 到 172.16.0.2:15956 xx UDP(77
字节)从 eth0 上的 172.16.0.2:64869 到 eth0 上的 212.59.1.1:53
xx UDP(105 字节)从212.59.1.1:53 到 eth0 上的 172.16.0.2:64869
xx UDP(77 字节)从 172.16.0.2:27489 到 eth0 上的 212.59.1.1:53
xx UDP(93 字节)从 212.59.1.1:53 到 eth0 上的 172.16.0.2:27489 xx UDP(77 字节)
从 172.16.0.2:32834 到 eth0 上的 212.59.1.1:53
xx UDP(105 字节)从 212.59.1.1:53 到 eth0 上的 172.16.0.2:32834
xx UDP(77 字节)从 172.16.0.2:31633 到eth0 上的 212.59.1.1:53
xx UDP(93 字节)从 212.59.1.1:53 到 eth0 上的 172.16.0.2:31633
xx UDP(55 字节)从 172.16.0.2:31892 到 eth0 上的 212.59.1.1:53
xx UDP(83 字节)从 eth0 上的 212.59.1.1:53 到 eth0 上的 172.16.0.2:31892
172.16.0.2 是 xen 内部虚拟机(我现在正在监控 - 此代码片段来自 172.16.0.2 机器)的内部 IP(使用虚拟包),212.59.1.1 是我的 ISP DNS 服务器。
是否可以查看哪个应用程序/PID 发出了这些请求?或者这是一种正常行为?调查这个问题是因为我可能会被这些请求淹没,甚至失去网络连接。
答案1
ss -neopa会告诉你哪些端口开放了在某一特定时间。
然而,由于连接持续时间如此短暂,因此很难发现这一点。
您可能想要使用 auditd 来监视套接字调用,然后查看哪个 UID/PID/PPID 正在打开套接字。
这里已经回答了这个问题:我如何才能识别 Linux 上哪个进程正在进行 UDP 流量?