Re: hidden ports
On Thu, Nov 29, 2018 at 11:43:53AM -0600, D. H. wrote:
> On 2018-11-26 2:18 a.m., Eugene Berdnikov wrote:
> > On Mon, Nov 26, 2018 at 01:39:26AM -0600, D. H. wrote:
> >> # netstat -anlp | grep 59282
> >> udp 0 0 0.0.0.0:59282 0.0.0.0:* -
> >>
> >> т.е. PID/Program name "-"
> >>
> >> Собственно два вопроса:
> >> 1) Как бы вычислить процесс?
> >
> > Для начала применить альтернативы netstat'у, например, ss и lsof.
>
> lsof и ss ничего не дали. ss вообде не обнаружил этого порта среди udp
На всякий случай уточню, что утилиты ps, netstat, lsof, ss и все другие
для диагностики желательно приносить с заведомо чистой системы.
Точно "lsof -n -i :59282" ничего не выдаёт? Можно посмотреть, есть ли
в /proc/net/udp строчка с ":E792" (это 59282 в hex).
Mожно запустить tcpdump с "-i any" и записывать им весь udp-шный трафик,
a при появлении такого сокета посмотреть, какие пакеты были захвачены
в дамп с искомым портом. Заодно и содержимое пакетов узнаете.
Обычный резолвер закрывает сокет в течение 1-2 минут, но в системе
могут быть погибшие процессы (зомби), которые могут держать сокеты
бесконечно долго, и при этом нет гарантии, что утиль типа netstat'а
будет показывать их pid. Проверьте, нет ли дохлых процессов.
> Да и сама система прямого входа извне не имеет. Она как host для lxc
> контейнеров.
Боюсь, тут могут быть сюрпризы с сетевыми нэймспейсами...
--
Eugene Berdnikov
Reply to: