Linux 시스템에서 실행 중인 프로세스나 서비스가 원격 IP에 연결되어 있는지 식별하는 데 어려움을 겪고 있습니다. 원격 IP 포트 80 HTTP Tomcat 관리 페이지에 액세스하는 네트워크에 대한 불만 사항이 접수되었습니다.
아래 tcpdump를 사용하여 불만 사항을 접수한 IP 주소로 나가는 요청이 이루어지고 있음을 발견할 수 있었지만 어떤 프로세스에서 요청을 생성했는지 확인할 수 없었습니다.
tcpdump -vvv -i ens192 src 192.168.23.4 및 dst 포트 80
Linux centos7 환경에서 특정 IP에 연결을 시도하는 프로세스를 찾는 방법
답변1
auditd
모든 connect()
시스템 호출을 기록 할 수 있습니다 .
sudo auditctl -a exit,always -F arch=b64 -S connect
그런 다음 연결을 관찰한 후 다음을 사용하여 로그를 검색합니다.
sudo ausearch -i -sc connect | grep -wC2 lport=80
답변2
도움이 될 수 있는 몇 가지 도구가 있습니다. ntstat가 나의 첫 번째 선택이 될 것입니다
netstat -ltnp | grep -w ':80'
징후가 도움이 될 수 있습니다
l – netstat에 청취 소켓만 표시하도록 지시합니다. p – 프로세스 ID 및 프로세스 이름 표시를 허용합니다.
또한 시도해 보세요
lsof -i :80
또는 psmisc(아직 테스트되지 않음).