Какой процесс отправляет TCP SYNs на Солярисе 10?
Это - что-то вроде взлома, но Вы могли протестировать, существует ли каждый, и выполните их, если они делают:
[ -x "`which md5 2>/dev/null`" ] && md5 newfile >>sums
[ -x "`which md5sum 2>/dev/null`" ] && md5sum newfile >>sums
Я совершенно уверен, cygwin распознает команды (включая md5sum) без .exe, но включайте его, если Вы имеете к.
Взгляните на этот сценарий Dtrace: conntrack
# ./conntrack -h
USAGE: ./conntrack [-h] [-p port] [-c command] [-u user]
-p port # filter by port (incompatible with user and command)
-c command # filter by command (incompatible with port and user)
-u user # filter by user (incompatible with port and command)
eg,
./conntrack -p 22 # snoop connections to port 22
Если Вы знаете целевой IP и Порт, Вы могли бы работать:
pfiles $pid
для каждого процесса в Вашей системе для определения, какому открыли сокет с атрибутами. Могло бы также быть лучше попытаться использовать
lsof -i
как базируются, чтобы видеть, можно ли получить сокет, в то время как это, все еще живут.
Так как машина является внешней, Вы смогли пытаться видеть, кому она принадлежит и какое программное обеспечение Вы имеете от них для ограничения процессов, на которые Вам, вероятно, придется посмотреть.
-
1Спасибо за указатель. Я пытался использовать [кодируют] # для PID в
/usr/bin/ps -e -o pid; действительно повторите Проверку $PID PID...; $PID/usr/bin/pfiles |grep порт:; сделанный – Gary 20.11.2012, 22:42 -
2Проигнорируйте комментарий выше. При наличии форматирования проблемы и я занял слишком много времени редактировать. Спасибо за указатель. Я пытался использовать # для PID в
/usr/bin/ps -e -o pid; действительно повторите Проверку $PID PID...; $PID/usr/bin/pfiles |grep порт:; сделанный, но я думаю, что должен выполнять команду pfiles на PID в то же самое время, как SYN TCP отправляется.? SYN не является постоянным заграждением, таким образом, я не получил хит. Я действительно знаю порт (16001) и место назначения. Я не могу проверить то, что принадлежит порту 16001. Поиски в Интернете указывают на вещи, но я не могу найти преступника. – Gary 20.11.2012, 22:53 -
3@Gary Вы правы обе из этих команд, только покажет информацию, в то время как сокет активен (пытающийся установить соединение). Но Порт 16001 не то, что необходимо смотреть на, но IP-адрес или имя хоста. – Karlson 20.11.2012, 22:55
Для каждого процесса в Вашей системе приостановите его с kill -STOP $pid, посмотрите, останавливаются ли попытки подключения и возобновляют его с kill -CONT $pid.