Подскажите как узнать чей коннект?

0

2

Проблема такая, включаю фаерфокс, включаю nethog nethog сразу же (только при включенном фаере) показывает это

   ? root     192.168.50.253:48612-34.107.221.82:80 0.000       0.000 KB/sec                                                                                                        
      ? root     192.168.50.253:50614-142.251.36.99:443 0.000       0.000 KB/sec    
      ? root     unknown TCP 0.000       0.000 KB/sec

Фаер запущен без рута. Сервера какие-то странные, на некоторых нгинкс пустой, на других файл скачать можно в котором success написано. В общем похоже меня ломанули что ли. Не знаю уж как. Вопрос вот в чем, как вычислить приложение, которое это делает? Или как фаер это делает не имея рута?

netstat -tnap показывает, что это месенджеры, но не верится, что фаер от рута делает коннекты. Непонятно.

←	Proxmox backup server: меняется fingerprint после обновления сертификата

Dovecot - забивается очередь входящих сообщений

→

nethogs-то от рута запускаешь?

slowpony ★★★★★
(22.12.22 00:03:57 MSK)

Ответ на: комментарий от slowpony 22.12.22 00:03:57 MSK

Конечно

i3draven ★★
(22.12.22 00:06:39 MSK) автор топика

Судя по всему это проблемы nethog, это сервера гугла в соновном и страничек, которые во вкладках открыты. Но почему он пишет юзера рутового мне не ясно.

i3draven ★★
(22.12.22 00:17:00 MSK) автор топика

Ответ на: комментарий от i3draven 22.12.22 00:17:00 MSK

Ну это только исходники коврять, чтобы nethog для подобных соединений дампил какой он tcp пакет получили и что для него прочитал из /proc/net/tcp. Скорее всего сокет закрывается быстрее, чем nethog определяет кому он пренадлежал.

mky ★★★★★
(22.12.22 05:14:37 MSK)

Посмотри утилиту lsof

m0xf ★
(22.12.22 05:24:30 MSK)

wireshark уже советовали?

soomrack ★★★★★
(22.12.22 19:47:01 MSK)

Что за привычка начать на половине и бросить? Возьми Wireshark да посмотри куда, что и в каком количестве он шлет. Заодно и нам расскажешь потом.

Zhbert ★★★★★
(22.12.22 20:33:51 MSK)

nethogs

Непонятно, откуда он берет uid/pid/tid. Проще ту же задачу решить однострочником bpftrace, чем разбираться, как устроен этот nethogs.

i586 ★★★★★
(23.12.22 08:51:16 MSK)

Да, после запуска firefox, в nethogs появляется такая строка. Но это поведение самого nethogs.

? root     unknown TCP 0.000       0.000 KB/sec

Что касается сетевой активности firefox, да, она присутствует. Вот список возможных автоматических соединений. https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections

Я сделал короткий снимок через wireshark. Снял информацию об наиболее активном внешнем IP - им оказался один из серверов ***.googleusercontent.com.

Shevan
(23.12.22 12:03:34 MSK)

←	Proxmox backup server: меняется fingerprint после обновления сертификата

Admin

Dovecot - забивается очередь входящих сообщений

→

Похожие темы