ฉันพยายามวนลูปด้วยnetstatและแพ็คเก็ตมีขนาดเล็กและไม่บ่อยนักดังนั้นอย่าจับเลย (ยังสามารถเห็นมันด้วยtcpdump) จำเป็นต้องรู้ว่ากระบวนการใดส่งแพ็กเก็ตเหล่านั้น
คำตอบ:
ตรวจสอบtcpdumpหมายเลขพอร์ตต้นทางของแพ็กเก็ต จากนั้นเรียกใช้
sudo netstat -a -u -n --program
ค้นหาการPID/Program nameจับคู่หมายเลขพอร์ตต้นทาง
นี่ถือว่ากระบวนการส่งกำลังเปิดซ็อกเก็ตไว้ระหว่างการส่งซึ่งเป็นสิ่งที่โปรแกรมปกติจะทำ หากคุณกำลังจัดการโปรแกรมที่พยายามซ่อนตัวเองอย่างตั้งใจนั่นเป็นเรื่องที่แตกต่างกันโดยสิ้นเชิง
ผมคิดว่ามันควรจะเป็นไปได้ด้วยเป้าหมายในQUEUE iptablesแต่คุณจะต้องเขียนแอปพลิเคชัน userspace เพื่อ "ตรวจสอบ" แพ็กเก็ตเหล่านั้น (และการระบุนี้จะช่วยให้คุณทราบว่ากระบวนการใดส่งแพ็กเก็ตเหล่านั้น) ขออภัยฉันไม่ได้รับรายละเอียดเพิ่มเติม