是否有一个Linux库可以让我告诉哪些进程拥有哪些IP套接字?我想我正在寻找程序化的等价物lsof -i.最终,我想将看到的数据包libpcap与进程相关联.
更新:有几个人建议使用/proc/和udp,但在我的系统上,每个进程都显示相同的数据,所以它没有帮助.
我想你首先要查看/ proc/*/fd中的open fds,例如
4 -> socket:[11147]
然后在/ proc/net/tcp(或/ proc/net/udp)中查找引用的套接字(通过inode),例如
12: B382595D:8B40 D5C43B45:0050 01 00000000:00000000 00:00000000 00000000 1000 0 11065 1 ffff88008bd35480 69 4 12 4 -1
要确定您可以使用的进程所拥有的套接字netstat.这是一个w /输出(缩短)的示例,netstat其中包含可以执行所需操作的选项.
$ sudo netstat -apeen Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 127.0.0.1:8118 0.0.0.0:* LISTEN 138 744850 13248/privoxy tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 117 9612 2019/postgres udp 0 0 127.0.0.1:51960 127.0.0.1:51960 ESTABLISHED 117 7957 2019/postgres udp 0 0 0.0.0.0:68 0.0.0.0:* 0 7740 1989/dhclient Active UNIX domain sockets (servers and established) Proto RefCnt Flags Type State I-Node PID/Program name Path unix 2 [ ACC ] STREAM LISTENING 7937 2019/postgres /var/run/postgresql/.s.PGSQL.5432 unix 2 [ ACC ] STREAM LISTENING 958058 8080/emacs /tmp/emacs1000/server unix 2 [ ACC ] STREAM LISTENING 6969 1625/Xorg /tmp/.X11-unix/X0 unix 2 [ ] DGRAM 9325 1989/dhclient unix 3 [ ] STREAM CONNECTED 7720 1625/Xorg @/tmp/.X11-unix/X0
确保以root身份运行netstat,否则您将收到以下消息:
(Not all processes could be identified, non-owned process info will not be shown, you would have to be root to see it all.)
netstat联机帮助页中的-apeen选项说明:
-a, --all
Show both listening and non-listening sockets. With the
--interfaces option, show interfaces that are not up
-p, --program
Show the PID and name of the program to which each socket
belongs.
-e, --extend
Display additional information. Use this option twice for
maximum detail.
--numeric , -n
Show numerical addresses instead of trying to determine symbolic host, port or user names.
--numeric-hosts
shows numerical host addresses but does not affect the resolution of port or user names.
--numeric-ports
shows numerical port numbers but does not affect the resolution of host or user names.
--numeric-users
shows numerical user IDs but does not affect the resolution of host or port names.
该/proc文件系统提供每个进程的详细信息,包括网络信息.打开套接字信息列在/proc/net/tcp.IPv6套接字在tcp6文件中单独列出.套接字信息包括诸如本地和远程端口之类的信息,以及套接字inode编号,可以通过解析/proc/{pid}/fd/*信息将其映射回进程.
如果您不熟悉/proc文件系统,它基本上是一个虚拟文件系统,允许内核将各种有用信息发布到用户空间.这些文件通常是易于解析的简单结构化文本文件.
例如,在我netcat用于测试的Ubuntu系统上,并运行nc -l -p 8321侦听端口8321.查看tcp套接字信息:
$ cat /proc/net/tcp sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode 0: 00000000:2081 00000000:0000 0A 00000000:00000000 00:00000000 00000000 1000 0 26442 1 de0c8e40 300 0 0 2 -1 1: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 7019 1 de0c84c0 300 0 0 2 -1
第一行显示它正在侦听指向8321(0x2081)的所有地址.inode编号为26442,我们可以使用它来查找匹配的pid /proc/{pid}/fd/*,其中包含从文件句柄号到设备的一堆符号链接.因此,如果我们查找pid netcat并检查其fd映射:
$ ls -l /proc/7266/fd total 0 lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 0 -> /dev/pts/1 lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 1 -> /dev/pts/1 lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 2 -> /dev/pts/1 lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 3 -> socket:[26442]
在那里我们看到这个过程中的文件描述符3被映射到带有inode 26442的套接字,正如我们所期望的那样.
所以,很显然,以建立插座一个完整的地图,你需要先枚举所有/proc/**/fd/*文件,查找插座符号连接,再搭配针对从表中的索引节点插座/proc/net/tcp具有端点信息.
这是lsof工具的工作方式(参见lsof/dialects/linux/dsocket.c实现).
关于procfs的维基百科
Linux/proc文件系统作为程序员工具
/proc/等同于/proc/net您在同一网络命名空间中的所有进程 - 换句话说,它是"全局"信息.
你可以做什么lsof和fuser做什么,即迭代两者/proc/并/proc/net/*寻找匹配的inode.快速演示:
#!/bin/sh
pgrep "$@" | while read pid; do
for fd in /proc/$pid/fd/*; do
name=$(readlink $fd)
case $name in
socket:\[*\])
ino=${name#*:}
for proto in tcp:10 tcp6:10 udp:10 udp6:10 unix:7; do
[[ ! -e /proc/net/${proto%:*} ]] ||
awk "
\$${proto##*:} == ${ino:1:${#ino}-2} {
print \"${proto%:*}:\", \$0
exit 1
}
" /proc/net/${proto%:*} || break
done
;;
esac
done
done
你可以将它扩展到其他协议(我也看到ax25,ipx,packet,raw,raw6,udplite,udp6lite /proc/net/)或者用你选择的语言重写.
京公网安备 11010802040832号 | 京ICP备19059560号-6 