Нахождение недолговечного процесса владельца TCP-соединений

Запуск tcpdumpна локальных подключений к серверу Apache, я нашел соединения TCP создаются и закрываются сразу каждые 2 секунды. Как мне найти, какой процесс отвечает за это? netstat -ctpне помогло, соединения были слишком быстрыми, а идентификатор процесса не отображается для TIME_WAIT.

Оказалось, что это были тесты на гапрокси, с которыми я мог проверить strace, но я до сих пор не знаю способа точно определить гапрокси.

Вы можете использовать Audit Framework для таких вещей. Они не очень "удобны для пользователя" или интуитивно понятны, поэтому требуют немного покопаться с вашей стороны.

Сначала убедитесь, что у вас установлен Audit, и что ваше ядро ​​его поддерживает.
Для Ubuntu вы можете установить его, apt-get install auditdнапример.

Затем вы добавляете политику аудита для мониторинга всех connectсистемных вызовов, например:

auditctl -a exit,always -F arch=b64 -S connect -k MYCONNECT

Если вы используете 32-битную установку Linux, вы должны изменить b64 на b32.

Эта команда вставит политику в структуру аудита, и любые системные вызовы connect () теперь будут записываться в ваши журналы аудита (обычно /var/log/audit/audit.log), чтобы вы могли на них посмотреть.

Например, соединение с netcat с портом 80 news.ycombinator.com приведет к чему-то вроде этого:

type=SYSCALL msg=audit(1326872512.453:12752): arch=c000003e syscall=42 success=no exit=-115 a0=3 a1=24e8fa0 a2=10 a3=7fff07a44cd0 items=0 ppid=5675 pid=7270 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=4294967295 comm="nc" exe="/bin/nc.openbsd" key="MYCONNECT"
type=SOCKADDR msg=audit(1326872512.453:12752): saddr=02000050AE84E16A0000000000000000

Здесь вы можете видеть, что приложение /bin/nc.openbsd инициировало вызов connect (), если вы получаете много вызовов connect и хотите только отключить определенный ip или порт, вам нужно выполнить какое-то преобразование. Строка SOCKADDR содержит аргумент saddr, он начинается с 0200, за которым следует шестнадцатеричный номер порта (0050), что означает 80, а затем IP в шестнадцатеричном формате (AE84E16A), который является IP-адресом news.ycombinator.com 174.132.225.106.

Среда аудита может генерировать много журналов, поэтому не забудьте отключить ее, когда вы завершите свою миссию. Чтобы отключить вышеуказанную политику, просто замените -a на -d следующим образом:

auditctl -d exit,always -F arch=b64 -S connect -k MYCONNECT

Хорошая документация по структуре audd:
http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/part.audit.html

Преобразуйте IP-адреса в / из шестнадцатеричного, десятичного, двоичного и т. Д. По адресу:
http://www.kloth.net/services/iplocate.php

Общий шестнадцатеричный / десятичный конвертер:
http://www.statman.info/conversions/hexadecimal.html

Краткое введение в Audit, из стека обмена ИТ-безопасности. http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/

Изменить 1 :
Еще один быстрый способ сделать это (swedish: fulhack) - создать быстрый цикл, который отправляет вам данные о соединении, например:

while true;do
  ss -ntap -o state established '( dport = :80 )'
  sleep 1
done

Эта команда использует ssкоманду (статистика сокетов) для сброса текущих установленных подключений к порту 80, включая процесс, который его инициировал. Если данных много, вы можете добавить их | tee /tmp/outputпосле того, как все сделано, чтобы показать вывод на экране, а также записать его в / tmp / output для последующей обработки / копания. Если он не перехватывает быстрое соединение через прокси-сервер, попробуйте удалить его, sleep 1но будьте осторожны с обширной регистрацией, если это сильно загруженный компьютер. Изменить по необходимости!

Вы также можете просматривать огромные журналы, которые вы получаете от "ausearch -i", чтобы видеть только те сокеты, которые успешно подключены к другому хосту в Интернете. Я написал упрощенный скрипт для получения каждого процесса и команды, создавшей сокет для подключения к хосту в Интернете, а также адрес подключения этого целевого хоста и текущее время, когда сокет был «создан». Вот:

#!/bin/bash

if [[ $EUID -ne 0 ]]; then

    echo "You must run this script as root boy!"
    exit 1  

fi

> proccessConnections.dat

connections=`ausearch -i | grep host: | awk -F "msg=audit" '{print $2}' | awk -F ": saddr" '{print $1}'`

connectionsNumber=`echo "$connections" | wc -l`

echo "Number of connections: $connectionsNumber"

echo "$connections" > conTemp.dat

let counter=1
while read connectInfo; do

    success=`ausearch -i | grep "$connectInfo" | grep "type=SYSCALL" | grep success=yes`    
    addressInfo=`ausearch -i | grep "$connectInfo" | grep type=SOCKADDR | awk -F ': ' '{print $2}'`
    processInfo=`ausearch -i | grep "$connectInfo" | grep "type=SYSCALL" | awk -F 'comm=' '{print $2}' | awk -F 'key' '{print $1}'` 

    if [[ $success != "" ]]
    then    
        echo "[$counter - $connectionsNumber] (success)     comm=$processInfo - $addressInfo - $connectInfo"
        echo "[$counter - $connectionsNumber] (success)     comm=$processInfo - $addressInfo - $connectInfo" >> proccessConnections.dat
    else
        echo "[$counter - $connectionsNumber] (no success)  comm=$processInfo - $addressInfo - $connectInfo"
        echo "[$counter - $connectionsNumber] (no success)  comm=$processInfo - $addressInfo - $connectInfo" >> proccessConnections.dat
    fi

    let counter++


done < conTemp.dat