Comment puis-je identifier le processus qui génère du trafic UDP sous Linux ?

Vous pouvez utiliser netstat, mais vous avez besoin des bons drapeaux, et cela ne fonctionne que si le processus qui envoie les données est toujours en vie. Il ne trouvera pas les traces d'un processus qui s'est brièvement réveillé, a envoyé du trafic UDP, puis s'est éteint. Il faut également disposer des privilèges de l'administrateur local. Ceci étant dit :

Voici comment je lance un ncat sur mon hôte local, en envoyant du trafic UDP au port 2345 sur une machine (inexistante) 10.11.12.13 :

[madhatta@risby]$ ncat -u 10.11.12.13 2345 < /dev/urandom

Voici une sortie tcpdump qui prouve que le trafic est en cours :

[root@risby ~]# tcpdump -n -n port 2345
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:41:32.391750 IP 192.168.3.11.57550 > 10.11.12.13.2345: UDP, length 8192
12:41:32.399723 IP 192.168.3.11.57550 > 10.11.12.13.2345: UDP, length 8192
12:41:32.401817 IP 192.168.3.11.57550 > 10.11.12.13.2345: UDP, length 8192
12:41:32.407051 IP 192.168.3.11.57550 > 10.11.12.13.2345: UDP, length 8192
12:41:32.413492 IP 192.168.3.11.57550 > 10.11.12.13.2345: UDP, length 8192
12:41:32.417417 IP 192.168.3.11.57550 > 10.11.12.13.2345: UDP, length 8192

Voici la partie utile En utilisant netstat avec l'option -a (pour voir les détails du port) et l'option -p pour voir les détails de l'ID du processus. C'est l'option -p qui nécessite les privilèges de l'administrateur :

[root@risby ~]# netstat -apn|grep -w 2345
udp        0      0 192.168.3.11:57550          10.11.12.13:2345            ESTABLISHED 9152/ncat     

Comme vous pouvez le voir, le pid 9152 est identifié comme ayant une connexion ouverte au port 2345 sur l'hôte distant spécifié. Netstat passe également par ps et m'indique que le nom du processus est ncat .

J'espère que cela vous sera utile.

J'ai eu exactement le même problème et malheureusement auditd n'a pas fait grand-chose pour moi.

J'ai eu du trafic de certains de mes serveurs vers des adresses DNS de Google, 8.8.8.8 y 8.8.4.4 . Mon administrateur réseau a un léger trouble obsessionnel-compulsif et il voulait nettoyer tout le trafic inutile puisque nous avons nos caches DNS internes. Il voulait désactiver le port 53 sortant pour tout le monde sauf pour ces serveurs de cache.

Ainsi, après avoir échoué avec auditctl Je me plonge dans systemtap . J'obtiens le script suivant :

# cat >> udp_detect_domain.stp <<EOF
probe udp.sendmsg {
  if ( dport == 53 && daddr == "8.8.8.8" ) {
    printf ("PID %5d (%s) sent UDP to %15s 53\n", pid(), execname(), daddr)
  }
}
EOF

Il suffit ensuite de courir :

stap -v udp_detect_domain.stp

Voici le résultat que j'ai obtenu :

PID  3501 (python) sent UDP to  8.8.8.8 53
PID  3501 (python) sent UDP to  8.8.8.8 53
PID  3506 (python) sent UDP to  8.8.8.8 53

C'est tout ! Après avoir modifié resolv.conf ces PID n'ont pas pris en compte les changements.

J'espère que cela vous aidera :)

Voici une option systemtap, utilisant les sondes netfilter disponibles dans stap verson 1.8 et plus. Voir aussi man probe::netfilter.ip.local_out .

# stap -e 'probe netfilter.ip.local_out {
  if (dport == 53) # or parametrize
      printf("%s[%d] %s:%d\n", execname(), pid(), daddr, dport)
}'
ping[24738] 192.168.1.10:53
ping[24738] 192.168.1.10:53
^C

J'utiliserais un renifleur de réseau comme tcpdump ou wireshark pour visualiser les requêtes DNS. Le contenu des requêtes peut donner une idée du programme qui les émet.