linux查看udp的流量,我如何识别哪个进程在linux上进行UDP流量?

最新推荐文章于 2023-07-24 16:56:29 发布
最新推荐文章于 2023-07-24 16:56:29 发布
阅读量885 收藏
点赞数
文章标签: linux查看udp的流量

Linux审计可以提供帮助.它至少会定位用户和进程进行数据报网络连接. UDP数据包是数据报.

首先,在您的平台上安装auditd框架,并确保auditctl -l返回一些内容,即使它声明没有定义任何规则.

然后,添加规则以观察系统调用套接字()并标记它以便以后轻松查找(-k).我需要假设您使用的是64位架构,但如果不是,则可以用b32代替b64.

auditctl -a exit,always -F arch=b64 -F a0=2 -F a1\&=2 -S socket -k SOCKET

你必须选择手册页和头文件来构建它,但它捕获的内容本质上是这个系统调用:socket(PF_INET,SOCK_DGRAM | X,Y),其中第三个参数未指定但经常为零. PF_INET为2,SOCK_DGRAM为2. TCP连接将使用SOCK_STREAM,它将设置a1 = 1. (第二个参数中的SOCK_DGRAM可以与SOCK_NONBLOCK或SOCK_CLOEXEC进行OR运算,因此& =比较.)-k SOCKET是我们稍后搜索审计跟踪时要使用的关键字.它可以是任何东西,但我喜欢保持简单.

让我们过一会儿,回顾一下审计线索.或者,您可以通过在网络上ping主机来强制执行几个数据包,这将导致发生DNS查找,这将使用UDP,这应该会使审计警报跳闸.

ausearch -i -ts today -k SOCKET

将出现类似于以下部分的输出.我正在缩略它以突出重要部分

type=SYSCALL ... arch=x86_64 syscall=socket success=yes exit=1 a0=2 a1=2 ... pid=14510 ... auid=zlagtime uid=zlagtime ... euid=zlagtime ... comm=ping exe=/usr/bin/ping key=SOCKET

在上面的输出中,我们可以看到ping命令导致套接字被打开.然后我可以在进程上运行strace -p 14510,如果它还在运行的话.如果它是一个产生问题孩子的脚本,也会列出ppid(父进程ID).

现在,如果你有很多UDP流量,这不会很好,你将不得不求助于OProfile或SystemTap,这两者目前都超出了我的专业水平.

这应该有助于在一般情况下缩小范围.

完成后,使用您用于创建审计规则的同一行删除审计规则,只替换-a和-d.

auditctl -d exit,always -F arch=b64 -F a0=2 -F a1\&=2 -S socket -k SOCKET

死神骑马来
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux查看udp流量,【LinuxLinux上如何查看TCP/UDP端口占用数
weixin_28847199的博客
05-15 1467
一、Linux端口范围端口为16位长度,1024 以下端口为特权端口,默认只有root能使用,1024 ~ 65535 为 其他用户可以向内核注册的端口数。计算机端口范围是 0 ~ 65535,主要分成三大类:公认端口(0 ~ 1023)注册端口(1024 ~ 49151)动态或私有端口(49152 ~ 65535)二、Linux 修改端口限制CentOS系统默认参数,自动分配的端口数有限,是从...
Linux查看某个端口的连接数的方法
01-09
一、查看哪些IP连接本机 netstat -an 二、查看TCP连接数 1)统计80端口连接数 netstat -nat | grep -i 80 | wc -l 2)统计httpd协议连接数 ps -ef | grep httpd | wc -l 3)统计已连接上的,状态为“established netstat -anp | grep ESTABLISHED | wc -l 4)、查出哪个IP地址连接最多,将其封了 netstat -anp | grep ESTABLISHED | awk {print $5}|awk -F: {print $1} | sort | uniq
linux udp进程,我如何识别哪个进程linux进行UDP通信?
weixin_27388739的博客
05-01 701
我的机器不断地做udp dns流量请求。 我需要知道的是生成此流量的过程的PID。我如何识别哪个进程linux进行UDP通信?TCP连接的正常方式是使用netstat/lsof并获取与pid关联的进程UDP是连接状态,所以,当我打电话给netastat/lsof我可以看到它,只有当UDP套接字打开,它发送流量。我试过用lsof -i UDP和nestat -anpue,但是我无法找到至极的进...
Linux查看指定端口的UDP、TCP是否收到数据【2023.07.24】
最新发布
qq_25231249的博客
07-24 1899
场景是终端上报数据给服务端,会有前端进行展示。通过wireshark看到终端给服务端发送数据了,但是UDP无法确定服务端是否正确收到,于是需要在Linux执行一些命令查看是否收到数据。
Linux进程网络流量统计的实现过程
01-10
在某些应用安全场景需要结合进程网络连接、流量等数据可分析出是否在内网存在恶意外传敏感数据现象在网络监控 时发现 服务器大量带宽被占用但不清楚由系统具体哪个进程占用 。为此都需要获取到更细粒度的...
UDP.rar_Linux c++ udp _linux UDP
09-23
Linux系统下进行C++网络编程时,UDP(User Datagram Protocol)是一种常用的数据传输协议,因其无连接、尽最大努力交付的特点而广泛应用于实时数据传输、媒体等场景。本资源"UDP.rar"包含了关于Linux C++ UDP...
Linux-net-programC-language.rar_linux UDP_linux socket udp_linux
09-23
**Linux Socket API**是用于在网络间进行进程间通信(IPC)的标准接口,也是开发网络应用程序的基础。在C语言中,通过调用socket()函数创建套接字,bind()函数绑定IP地址和端口号,listen()和accept()用于服务器接收...
Linux查看进程占用的端口号
01-10
端口是 Linux 系统上特定进程之间逻辑连接的标识,包括物理端口和软件端口。由于 Linux 操作系统是一个软件,因此本文只讨论软件端口。软件端口始终与主机的 IP 地址和相关的通信协议相关联,因此端口常用于区分应用...
linux udp进程,如何确定在Linux进行UDP流量进程
weixin_36415235的博客
05-01 660
您可以使用netstat,但需要正确的标志,并且仅在发送数据的进程仍然存在时才有效。它不会找到短暂出现,发送UDP流量然后消失的痕迹。它还需要本地root特权。说:这是我在本地主机上启动ncat,将UDP流量发送到(不存在)计算机10.11.12.13上的端口2345:[madhatta@risby]$ ncat -u 10.11.12.13 2345 < /dev/urandom这是一些t...
Centos下查看网卡的实时流量命令
09-15
本文介绍了linux查看网卡流量的六种方法,linux系统中使用nload、iftop、iostat等工具查看网卡流量,这里我们先来详细讲解下 iptraf 方法,需要的朋友参考下。
linux查看udp端口占用命令,详解Linux查看端口占用
weixin_29958797的博客
04-30 1458
在使用计算机的过程中,有时会碰到端口被占用的情况,这时候需要查看端口占用情况进行问题排查。在linux系统中,端口占用的情况也时有发生,一般情况下可以使用lsof和netstat两个命令来查看端口占用情况。下面我们就分别介绍Linux查看端口占用用到的lsof和netstat命令:1、lsof命令lsof(list open files)命令功能:列出当前系统打开文件。在linux系统中,一切皆文...
Linux下TCP,UDP端口连接确认
danns888的专栏
04-01 496
由于telnet只能确认TCP协议,所以用NC命令可以确认TCP和UDP 默认Linux应该没有装nc,需要手动安装 TCP命令 nc -vz IP地址 端口 UDP命令 nc -vuz IP地址 端口 参数说明: -v 详细输出(用两个-v可得到更详细的内容) -u 使用UDP传输协议 -z 让nc只扫描端口,不发送任何的数据 ...
DNS使用TCP与UDP
peterkang202的专栏
04-14 3501
DNS同时占用UDP和TCP端口53是公认的,这种单个应用协议同时使用两种传输协议的情况在TCP/IP栈也算是个另类。但很少有人知道DNS分别在什么情况下使用这两种协议。 先简单介绍下TCP与UDP。 TCP是一种面向连接的协议,提供可靠的数据传输,一般服务质量要求比较高的情况,使用这个协议。UDP—用户数据报协议,是一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。 TCP
linux下网口监控软件_4个Linux下网络流量实时监控工具
weixin_39831503的博客
12-19 875
前几天,一个以前的同事跟我说他们公司挂论坛用Linux服务器最近访问速度很慢,咨询如何用命令查询流量情况,于是整理了一些资料。(1)nloadnload可以很直观地看到总体流量的情况。12$yum-yinstallnload$nloadeth1(2)iftopiftop是类似于linux下面top的实时流量监控工具,可以用来监控网卡的实时流量(可以指定网段)、反向解析IP、显示端口信息等。安装:1...
HTTP接口和UDP接口流量差异比较
Testingba工作室
12-07 8646
有个手机软件需要很频繁的调用服务器端接口,你知道的,每个字节都是钱呀,钱呀钱,命相连呀。本来已经有个现成的tomcat的http(get/post)的接口,但是担心流量消耗太大,需要做个评估,看是采用http接口,还是使用多线程的socket udp接口,于是就有了下面这一出。   相关工具: 序号 工具 描述 1.
linux查看udp丢包数量,LinuxUDP丢包问题分析思路
weixin_30983209的博客
05-15 1004
最近工作中需要为PHP服务提供存储prometheus指标数据的UDP服务器。然后就用Netty实现了一个简单地UDP服务。但是在压测的过程中发现有严重的丢包现象。下面我们就来分析一下丢包发生的原因以及解决办法1.linux 系统接收网络报文的过程接收数据包是一个复杂的过程,涉及很多底层的技术细节,但大致需要以下几个步骤:网卡收到数据包。将数据包从网卡硬件缓存转移到服务器内存中。通知内核处理。经过...
linux 查看udp的接收情况,linuxUDP接收队列满了吗?
weixin_28829629的博客
05-13 2499
我有一个应用程序在端口12201上接收大量UDP流量,我注意到一些UDP数据包永远不会进入应用程序(仅由内核接收).我跑的时候netstat -c --udp -an | grep 12201我可以看到Recv-Q几乎总是126408,很少低于,从未超过:Proto Recv-Q Send-Q Local Address Foreign Address Stateudp 126408 0 :::1...
zabbix 监控Linux TCP/UDP端口流量
lvshaorong的博客
12-05 5716
zabbix-agent客户端在Linux服务器安装之后,服务器端配置上Template OS Linux这个模板,就会自动搜索该服务器上的所有网卡,然后实时记录income流量和outcome流量,并绘制成图标显示,如下。 有这个粗略的统计可以帮助运维人员了解服务器的健康情况,但是有时候我们需要更加精细的监控,监控粒度要精细到某个端口和IP,比如统计80端口,443端口以时间为轴的流量...
Linux系统管理员必备:6种查看进程占用端口号技巧
"这篇文章主要介绍了如何在Linux系统中查看进程占用的端口号,涉及了6种不同的命令工具:ss、netstat、lsof、fuser、nmap以及systemctl。这些方法对于系统管理员监控和排查网络服务问题非常实用。" 在Linux系统中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值