Есть ли библиотека Linux, которая позволит мне рассказать, какие IP-сокеты принадлежат тем процессам? Думаю, я ищу программный эквивалент lsof -i. В конечном счете, я хочу сопоставить пакеты, просматриваемые с помощью процессов libpcap.
UPDATE:. Несколько человек предложили использовать /proc/<pid>/net/tcp и udp, но в моей системе одни и те же данные отображаются для каждого процесса, поэтому это не помогает.
Мне кажется, вам сначала нужно просмотреть открытые fds в /proc/ */fd, например.
4 -> socket:[11147]
а затем найдите ссылочные сокеты (inode) в /proc/net/tcp (или/proc/net/udp), например
12: B382595D:8B40 D5C43B45:0050 01 00000000:00000000 00:00000000 00000000 1000 0 11065 1 ffff88008bd35480 69 4 12 4 -1
Чтобы определить сокеты, принадлежащие процессу, вы можете просто использовать netstat. Здесь пример w/output (сокращенный) netstat с параметрами, которые будут делать то, что вы хотите.
$ sudo netstat -apeen
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 127.0.0.1:8118 0.0.0.0:* LISTEN 138 744850 13248/privoxy
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 117 9612 2019/postgres
udp 0 0 127.0.0.1:51960 127.0.0.1:51960 ESTABLISHED 117 7957 2019/postgres
udp 0 0 0.0.0.0:68 0.0.0.0:* 0 7740 1989/dhclient
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 7937 2019/postgres /var/run/postgresql/.s.PGSQL.5432
unix 2 [ ACC ] STREAM LISTENING 958058 8080/emacs /tmp/emacs1000/server
unix 2 [ ACC ] STREAM LISTENING 6969 1625/Xorg /tmp/.X11-unix/X0
unix 2 [ ] DGRAM 9325 1989/dhclient
unix 3 [ ] STREAM CONNECTED 7720 1625/Xorg @/tmp/.X11-unix/X0
Убедитесь, что вы запускаете netstat как root, иначе вы получите это сообщение:
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Объяснение параметров -apeen на странице netstat manpage:
-a, --all
Show both listening and non-listening sockets. With the
--interfaces option, show interfaces that are not up
-p, --program
Show the PID and name of the program to which each socket
belongs.
-e, --extend
Display additional information. Use this option twice for
maximum detail.
--numeric , -n
Show numerical addresses instead of trying to determine symbolic host, port or user names.
--numeric-hosts
shows numerical host addresses but does not affect the resolution of port or user names.
--numeric-ports
shows numerical port numbers but does not affect the resolution of host or user names.
--numeric-users
shows numerical user IDs but does not affect the resolution of host or port names.
Файловая система /proc предоставляет подробную информацию о каждом процессе, включая сетевую информацию. Информация о открытых сокетах указана в /proc/net/tcp. Сокеты IPv6 перечислены отдельно в файле tcp6. Информация о сокетах включает в себя информацию, такую как локальный и удаленный порты, и номер inode сокета, который может быть отображен обратно в процесс путем анализа информации /proc/{pid}/fd/*.
Если вы не знакомы с файловой системой /proc, это в основном виртуальная файловая система, которая позволяет ядру публиковать всевозможную полезную информацию для пользовательского пространства. Обычно файлы представляют собой простые структурированные текстовые файлы, которые легко анализировать.
Например, в моей системе Ubuntu я использовал netcat для тестирования и запускал nc -l -p 8321 для прослушивания на порту 8321. Глядя на информацию сокета tcp:
$ cat /proc/net/tcp
sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode
0: 00000000:2081 00000000:0000 0A 00000000:00000000 00:00000000 00000000 1000 0 26442 1 de0c8e40 300 0 0 2 -1
1: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 7019 1 de0c84c0 300 0 0 2 -1
В первой строке показано, что он прослушивает все адреса в точке 8321 (0x2081). Номер inode равен 26442, который мы можем использовать для поиска соответствующего pid в /proc/{pid}/fd/*, который состоит из группы символических ссылок из номера дескриптора файла на устройство. Поэтому, если мы посмотрим pid на netcat и проверим его отображение fd:
$ ls -l /proc/7266/fd
total 0
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 0 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 1 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 2 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 3 -> socket:[26442]
И там мы видим, что файловый дескриптор 3 в этом процессе сопоставляется с сокетом с inode 26442, как и ожидалось.
Итак, чтобы построить полную карту сокетов, вам нужно сначала перечислить все файлы /proc/**/fd/*, найти символьные ссылки сокета, а затем сопоставить сокет сокета с таблицами из /proc/net/tcp, который имеет информацию о конечной точке.
Так работает инструмент lsof (см. lsof/dialects/linux/dsocket.c для реализации).
/proc/<pid>/net эквивалентен /proc/net для всех процессов в том же пространстве имен в сети, что и вы – другими словами, это "глобальная" информация.
Вы можете делать то, что lsof и fuser делать, чтобы итератировать как /proc/<pid>/fd/*, так и /proc/net/*, ища соответствующие индексы. Быстрая демонстрация:
#!/bin/sh
pgrep "[email protected]" | while read pid; do
for fd in /proc/$pid/fd/*; do
name=$(readlink $fd)
case $name in
socket:\[*\])
ino=${name#*:}
for proto in tcp:10 tcp6:10 udp:10 udp6:10 unix:7; do
[[ ! -e /proc/net/${proto%:*} ]] ||
awk "
\$${proto##*:} == ${ino:1:${#ino}-2} {
print \"${proto%:*}:\", \$0
exit 1
}
" /proc/net/${proto%:*} || break
done
;;
esac
done
done
Вы можете распространить это на другие протоколы (я вижу ax25, ipx, пакет, raw, raw6, udplite, udp6lite в /proc/net/ тоже) или переписываю на выбранном вами языке.
Вы можете прочитать их из файловой системы proc. "Файлы", которые вы, вероятно, хотите посмотреть, находятся в
/proc/<pid>/net (а именно tcp, udp, unix)
Здесь некоторые примеры об использовании файловой системы proc
Вы можете попробовать запустить lsof с strace и посмотреть, какие файлы в /proc получают данные.
Я бы пошел к источнику: