有没有一个Linux库,可以让我知道哪些IP套接字为哪些进程所拥有? 我想我正在寻找lsof -i的编程等价物。 最终,我想将通过libpcap看到的数据包关联到进程。
更新:有几个人build议使用/proc/<pid>/net/tcp和udp ,但在我的系统上,每个进程都显示相同的数据,所以这没有帮助。
我想你首先必须通过/ proc / * / fd中的open fds,例如
4 -> socket:[11147]
然后在/ proc / net / tcp(或/ proc / net / udp)中查找引用的套接字(通过inode),例如
12: B382595D:8B40 D5C43B45:0050 01 00000000:00000000 00:00000000 00000000 1000 0 11065 1 ffff88008bd35480 69 4 12 4 -1
要确定一个进程拥有的套接字,你可以使用netstat 。 这里有一个例子w /输出(缩短)的netstat与选项,将做你想做的。
$ sudo netstat -apeen Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 127.0.0.1:8118 0.0.0.0:* LISTEN 138 744850 13248/privoxy tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 117 9612 2019/postgres udp 0 0 127.0.0.1:51960 127.0.0.1:51960 ESTABLISHED 117 7957 2019/postgres udp 0 0 0.0.0.0:68 0.0.0.0:* 0 7740 1989/dhclient Active UNIX domain sockets (servers and established) Proto RefCnt Flags Type State I-Node PID/Program name Path unix 2 [ ACC ] STREAM LISTENING 7937 2019/postgres /var/run/postgresql/.s.PGSQL.5432 unix 2 [ ACC ] STREAM LISTENING 958058 8080/emacs /tmp/emacs1000/server unix 2 [ ACC ] STREAM LISTENING 6969 1625/Xorg /tmp/.X11-unix/X0 unix 2 [ ] DGRAM 9325 1989/dhclient unix 3 [ ] STREAM CONNECTED 7720 1625/Xorg @/tmp/.X11-unix/X0
确保你以root身份运行netstat,否则你会得到这个消息:
(Not all processes could be identified, non-owned process info will not be shown, you would have to be root to see it all.)
对netstat手册页中的-apeen选项的解释:
-a, --all Show both listening and non-listening sockets. With the --interfaces option, show interfaces that are not up -p, --program Show the PID and name of the program to which each socket belongs. -e, --extend Display additional information. Use this option twice for maximum detail. --numeric , -n Show numerical addresses instead of trying to determine symbolic host, port or user names. --numeric-hosts shows numerical host addresses but does not affect the resolution of port or user names. --numeric-ports shows numerical port numbers but does not affect the resolution of host or user names. --numeric-users shows numerical user IDs but does not affect the resolution of host or port names.
/proc文件系统提供了每个进程的详细信息,包括网络信息。 打开的套接字信息列在/proc/net/tcp 。 IPv6套接字在tcp6文件中分别列出。 套接字信息包括诸如本地和远程端口以及套接字inode号等信息,可以通过解析/proc/{pid}/fd/*信息将其映射回进程。
如果你不熟悉/proc文件系统,它基本上是一个虚拟文件系统,它允许内核向用户空间发布各种有用的信息。 这些文件通常是简单的结构化文本文件,很容易解析。
例如,在我的Ubuntu系统上,我使用netcat进行测试,然后运行nc -l -p 8321来侦听端口8321.查看tcp套接字信息:
$ cat /proc/net/tcp sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode 0: 00000000:2081 00000000:0000 0A 00000000:00000000 00:00000000 00000000 1000 0 26442 1 de0c8e40 300 0 0 2 -1 1: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 7019 1 de0c84c0 300 0 0 2 -1
第一行显示它正在监听所有地址点8321(0x2081)。 inode号是26442,我们可以使用它来查找/proc/{pid}/fd/*的匹配pid,它由一系列从文件句柄号到设备的符号链接组成。 所以如果我们查找netcat的pid,并检查它的fd映射:
$ ls -l /proc/7266/fd total 0 lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 0 -> /dev/pts/1 lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 1 -> /dev/pts/1 lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 2 -> /dev/pts/1 lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 3 -> socket:[26442]
在那里,我们看到在这个过程中的文件描述符3被映射到inode 26442的套接字,正如我们所期望的那样。
所以很显然,要构建完整的套接字映射,您需要首先枚举所有/proc/**/fd/*文件,查找套接字符号链接,然后将套接字inode与/proc/net/tcp它具有端点信息。
这是lsof工具的工作方式(请参阅lsof/dialects/linux/dsocket.c中的实现)。
/proc/<pid>/net对于与您相同的网络名称空间中的所有进程而言,相当于/proc/net – 换句话说,它是“全局”信息。
您可以执行lsof和fuser所做的操作,即遍历/proc/<pid>/fd/*和/proc/net/*查找匹配的inode。 快速示范:
#!/bin/sh pgrep "$@" | while read pid; do for fd in /proc/$pid/fd/*; do name=$(readlink $fd) case $name in socket:\[*\]) ino=${name#*:} for proto in tcp:10 tcp6:10 udp:10 udp6:10 unix:7; do [[ ! -e /proc/net/${proto%:*} ]] || awk " \$${proto##*:} == ${ino:1:${#ino}-2} { print \"${proto%:*}:\", \$0 exit 1 } " /proc/net/${proto%:*} || break done ;; esac done done
您可以将其扩展到其他协议(我在/proc/net/看到ax25,ipx,packet,raw,raw6,udplite,udp6lite),或者用您选择的语言重写。
你可以从proc文件系统读取它们。 您可能要查看的“文件”位于/proc/<pid>/net (即tcp,udp,unix)
以下是使用proc文件系统的一些例子
你可以试着用strace运行lsof,看看/ proc中的哪些文件从中获取数据。