web-dev-qa-db-ja.com

プロセスが所有するソケットを判別するLinux API

どのIPソケットがどのプロセスによって所有されているかを確認できるLinuxライブラリはありますか? lsof -iと同等のプログラムを探していると思います。最終的には、libpcapから見たパケットをプロセスに関連付けたいと思います。

PDATE:数人が/proc/<pid>/net/tcpudpの使用を提案していますが、私のシステムでは、すべてのプロセスに同じデータが表示されるため、役に立ちません。

28
Rob H

まず、/ proc/*/fdにある開いているfdsを確認する必要があると思います。

4 -> socket:[11147]

次に、/ proc/net/tcp(または/ proc/net/udp)で(iノードによって)参照されているソケットを探します。

12: B382595D:8B40 D5C43B45:0050 01 00000000:00000000 00:00000000 00000000  1000        0 11065 1 ffff88008bd35480 69 4 12 4 -1
46
cmeerw

プロセスが所有するソケットを判別するには、netstatを使用できます。以下は、必要なオプションを備えたnetstatの出力(短縮)の例です。

$ Sudo netstat -apeen
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 127.0.0.1:8118          0.0.0.0:*               LISTEN      138        744850      13248/privoxy   
tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      117        9612        2019/postgres   
udp        0      0 127.0.0.1:51960         127.0.0.1:51960         ESTABLISHED 117        7957        2019/postgres   
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          7740        1989/dhclient   
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     7937     2019/postgres       /var/run/postgresql/.s.PGSQL.5432
unix  2      [ ACC ]     STREAM     LISTENING     958058   8080/emacs          /tmp/emacs1000/server
unix  2      [ ACC ]     STREAM     LISTENING     6969     1625/Xorg           /tmp/.X11-unix/X0
unix  2      [ ]         DGRAM                    9325     1989/dhclient       
unix  3      [ ]         STREAM     CONNECTED     7720     1625/Xorg           @/tmp/.X11-unix/X0

Rootとしてnetstatを実行していることを確認してください。そうしないと、次のメッセージが表示されます。

(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)

netstatマンページ-apeenオプションの説明:

-a, --all
    Show both listening and non-listening sockets. With the
    --interfaces option, show interfaces that are not up

-p, --program
    Show the PID and name of the program to which each socket
    belongs.

-e, --extend
    Display additional information. Use this option twice for
    maximum detail.

--numeric , -n
    Show numerical addresses instead of trying to determine symbolic Host, port or user names.

--numeric-hosts
    shows numerical Host addresses but does not affect the resolution of port or user names.

--numeric-ports
    shows numerical port numbers but does not affect the resolution of Host or user names.

--numeric-users
    shows numerical user IDs but does not affect the resolution of Host or port names.
13
aculich

/procファイルシステムは、ネットワーク情報を含む各プロセスの詳細を提供します。オープンソケット情報は/proc/net/tcpにリストされています。 IPv6ソケットは、tcp6ファイルに個別にリストされています。ソケット情報には、ローカルポートやリモートポート、ソケットのiノード番号などの情報が含まれます。これらは、/proc/{pid}/fd/*情報を解析することでプロセスにマッピングできます。

/procファイルシステムに慣れていない場合は、基本的に仮想ファイルシステムであり、カーネルはあらゆる種類の有用な情報をユーザー空間に公開できます。ファイルは通常、解析が簡単な単純な構造化テキストファイルです。

たとえば、私のUbuntuシステムでは、テストにnetcatを使用し、nc -l -p 8321を実行してポート8321でリッスンしました。tcpソケット情報を見る:

$ cat /proc/net/tcp
  sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                     
   0: 00000000:2081 00000000:0000 0A 00000000:00000000 00:00000000 00000000  1000        0 26442 1 de0c8e40 300 0 0 2 -1                             
   1: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 7019 1 de0c84c0 300 0 0 2 -1                              

最初の行は、ポイント8321(0x2081)までのすべてのアドレスをリッスンしていることを示しています。 iノード番号は26442で、これを使用して/proc/{pid}/fd/*で一致するpidを検索できます。これは、ファイルハンドル番号からデバイスへのシンボリックリンクの集まりで構成されています。したがって、netcatのpidを検索し、そのfdマッピングを確認すると、次のようになります。

$ ls -l /proc/7266/fd
total 0
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 0 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 1 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 2 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 3 -> socket:[26442]

また、このプロセスのファイル記述子3は、予想どおり、iノード26442のソケットにマップされていることがわかります。

したがって、ソケットの完全なマップを構築するには、最初にすべての/proc/**/fd/*ファイルを列挙し、ソケットのシンボリックリンクを検索してから、ソケットのiノードを/proc/net/tcpのエンドポイント情報を持つテーブルと照合する必要があります。 。

これがlsofツールの動作方法です(実装についてはlsof/dialects/linux/dsocket.cを参照)。

11
gavinb

/proc/<pid>/netは、あなたと同じネットワーク名前空間内のすべてのプロセスの/proc/netと同等です。つまり、「グローバル」情報です。

lsoffuserが行うことを実行できます。これは、/proc/<pid>/fd/*/proc/net/*の両方を反復して、一致するiノードを探します。簡単なデモ:

#!/bin/sh
pgrep "$@" | while read pid; do
    for fd in /proc/$pid/fd/*; do
        name=$(readlink $fd)
        case $name in
            socket:\[*\])
                ino=${name#*:}
                for proto in tcp:10 tcp6:10 udp:10 udp6:10 unix:7; do
                    [[ ! -e /proc/net/${proto%:*} ]] ||
                    awk "
                        \$${proto##*:} == ${ino:1:${#ino}-2} {
                            print \"${proto%:*}:\", \$0
                            exit 1
                        }
                    " /proc/net/${proto%:*} || break
                done
                ;;
        esac
    done
done

これを他のプロトコルに拡張することもできます(ax25、ipx、packet、raw、raw6、udplite、udp6liteも/proc/net/にあります)、または選択した言語で書き換えることができます。

5
ephemient

これらはprocファイルシステムから読み取ることができます。おそらく参照したい「ファイル」は/proc/<pid>/net(つまり、tcp、udp、unix)にあります。

ここにいくつかあります procファイルシステムの使用

4
Kimvais

Straceでlsofを実行して、/ proc内のどのファイルからデータを取得するかを確認することができます。

3
MikeK

私はソースに行きます:

http://ubuntuforums.org/showthread.php?t=1346778

1
DaveC