どのIPソケットがどのプロセスによって所有されているかを確認できるLinuxライブラリはありますか? lsof -i
と同等のプログラムを探していると思います。最終的には、libpcap
から見たパケットをプロセスに関連付けたいと思います。
PDATE:数人が/proc/<pid>/net/tcp
とudp
の使用を提案していますが、私のシステムでは、すべてのプロセスに同じデータが表示されるため、役に立ちません。
まず、/ proc/*/fdにある開いているfdsを確認する必要があると思います。
4 -> socket:[11147]
次に、/ proc/net/tcp(または/ proc/net/udp)で(iノードによって)参照されているソケットを探します。
12: B382595D:8B40 D5C43B45:0050 01 00000000:00000000 00:00000000 00000000 1000 0 11065 1 ffff88008bd35480 69 4 12 4 -1
プロセスが所有するソケットを判別するには、netstat
を使用できます。以下は、必要なオプションを備えたnetstat
の出力(短縮)の例です。
$ Sudo netstat -apeen
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:8118 0.0.0.0:* LISTEN 138 744850 13248/privoxy
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 117 9612 2019/postgres
udp 0 0 127.0.0.1:51960 127.0.0.1:51960 ESTABLISHED 117 7957 2019/postgres
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 7740 1989/dhclient
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 7937 2019/postgres /var/run/postgresql/.s.PGSQL.5432
unix 2 [ ACC ] STREAM LISTENING 958058 8080/emacs /tmp/emacs1000/server
unix 2 [ ACC ] STREAM LISTENING 6969 1625/Xorg /tmp/.X11-unix/X0
unix 2 [ ] DGRAM 9325 1989/dhclient
unix 3 [ ] STREAM CONNECTED 7720 1625/Xorg @/tmp/.X11-unix/X0
Rootとしてnetstatを実行していることを確認してください。そうしないと、次のメッセージが表示されます。
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
netstatマンページ の-apeen
オプションの説明:
-a, --all
Show both listening and non-listening sockets. With the
--interfaces option, show interfaces that are not up
-p, --program
Show the PID and name of the program to which each socket
belongs.
-e, --extend
Display additional information. Use this option twice for
maximum detail.
--numeric , -n
Show numerical addresses instead of trying to determine symbolic Host, port or user names.
--numeric-hosts
shows numerical Host addresses but does not affect the resolution of port or user names.
--numeric-ports
shows numerical port numbers but does not affect the resolution of Host or user names.
--numeric-users
shows numerical user IDs but does not affect the resolution of Host or port names.
/proc
ファイルシステムは、ネットワーク情報を含む各プロセスの詳細を提供します。オープンソケット情報は/proc/net/tcp
にリストされています。 IPv6ソケットは、tcp6
ファイルに個別にリストされています。ソケット情報には、ローカルポートやリモートポート、ソケットのiノード番号などの情報が含まれます。これらは、/proc/{pid}/fd/*
情報を解析することでプロセスにマッピングできます。
/proc
ファイルシステムに慣れていない場合は、基本的に仮想ファイルシステムであり、カーネルはあらゆる種類の有用な情報をユーザー空間に公開できます。ファイルは通常、解析が簡単な単純な構造化テキストファイルです。
たとえば、私のUbuntuシステムでは、テストにnetcat
を使用し、nc -l -p 8321
を実行してポート8321でリッスンしました。tcp
ソケット情報を見る:
$ cat /proc/net/tcp
sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode
0: 00000000:2081 00000000:0000 0A 00000000:00000000 00:00000000 00000000 1000 0 26442 1 de0c8e40 300 0 0 2 -1
1: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 7019 1 de0c84c0 300 0 0 2 -1
最初の行は、ポイント8321(0x2081)までのすべてのアドレスをリッスンしていることを示しています。 iノード番号は26442で、これを使用して/proc/{pid}/fd/*
で一致するpidを検索できます。これは、ファイルハンドル番号からデバイスへのシンボリックリンクの集まりで構成されています。したがって、netcat
のpidを検索し、そのfd
マッピングを確認すると、次のようになります。
$ ls -l /proc/7266/fd
total 0
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 0 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 1 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 2 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 3 -> socket:[26442]
また、このプロセスのファイル記述子3は、予想どおり、iノード26442のソケットにマップされていることがわかります。
したがって、ソケットの完全なマップを構築するには、最初にすべての/proc/**/fd/*
ファイルを列挙し、ソケットのシンボリックリンクを検索してから、ソケットのiノードを/proc/net/tcp
のエンドポイント情報を持つテーブルと照合する必要があります。 。
これがlsof
ツールの動作方法です(実装についてはlsof/dialects/linux/dsocket.c
を参照)。
/proc/<pid>/net
は、あなたと同じネットワーク名前空間内のすべてのプロセスの/proc/net
と同等です。つまり、「グローバル」情報です。
lsof
とfuser
が行うことを実行できます。これは、/proc/<pid>/fd/*
と/proc/net/*
の両方を反復して、一致するiノードを探します。簡単なデモ:
#!/bin/sh
pgrep "$@" | while read pid; do
for fd in /proc/$pid/fd/*; do
name=$(readlink $fd)
case $name in
socket:\[*\])
ino=${name#*:}
for proto in tcp:10 tcp6:10 udp:10 udp6:10 unix:7; do
[[ ! -e /proc/net/${proto%:*} ]] ||
awk "
\$${proto##*:} == ${ino:1:${#ino}-2} {
print \"${proto%:*}:\", \$0
exit 1
}
" /proc/net/${proto%:*} || break
done
;;
esac
done
done
これを他のプロトコルに拡張することもできます(ax25、ipx、packet、raw、raw6、udplite、udp6liteも/proc/net/
にあります)、または選択した言語で書き換えることができます。
これらはprocファイルシステムから読み取ることができます。おそらく参照したい「ファイル」は/proc/<pid>/net
(つまり、tcp、udp、unix)にあります。
ここにいくつかあります 例 procファイルシステムの使用
Straceでlsofを実行して、/ proc内のどのファイルからデータを取得するかを確認することができます。