Поиск процесса по данным tcpdump (не увенчался успехом)

0

1

100 обращений в секунду на днс от неизвестного процесса с попыткой регистрации. Была похожая тема(Поиск процесса по данным tcpdump) в 2011 году, но там все закончилось удачно.

while true; do netstat -ntupee | grep 10.26.2.31 ; done выводит огромный список рондомных портов. В выводе: src, dst и TIME_WAIT, все. При этом со стороны днс видно как периодически(раз в несколько часов) запросы проходят.

Процессов разных много, приклад жирный. Как найти сучечку?

Ссылка

←	Zimbra 8.6 пересыл писем

Все пропало мистика...

→

Вот идея.

iptables запретить трафик всем процессам. Потом поочерёдно открывать трафик для каждого процесса. И ждать. Когда появятся эти днс запросы то значит это нужный процесс.

Или наоборот по очереди каждому процессу блокировать трафик. Если днс-запросы прекратились значит это нужный процесс.

iptables -m owner --pid-owner PID

bash скриптом пройтись по всем процессам, остановить трафик каждого процесса например на 5 секунд. И одновременно записывать общий трафик. Обнаружить зависимость.

ukazatelnastek
(02.10.20 21:49:29 MSK)