TCP-Ports - welches Programm belegt einen speziellen Port?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

TCP-Ports - welches Programm belegt einen speziellen Port?

Beitrag von mistersixt » 08.03.2005 14:22:12

Moin moin,

ich bin auf einem Debian Woody Rechner einer Merkwürdigkeit auf der Spur und komme nicht weiter: wenn ich "tcpdump port 21" laufen lasse, sehe ich regelmässig solche Meldungen (der Woody-Rechner hat den Hostnamen "server02"):

Code: Alles auswählen

14:12:24.475510 server02.45127 > blabla.mediagonal.net.ftp: S 3446717647:3446717647(0) win 5840 <mss 1460,sackOK,timestamp 45286535 0,nop,wscale 0> (DF)
14:12:24.481273 blabla.mediagonal.net.ftp > server02.45127: S 3964578926:3964578926(0) ack 3446717648 win 5792 <mss 1460,sackOK,timestamp 3089747194 45286535,nop,wscale 0> (DF)
14:12:24.481295 server02.45127 > blabla.mediagonal.net.ftp: . ack 1 win 5840 <nop,nop,timestamp 45286536 3089747194> (DF)
14:12:24.489304 server02.45127 > blabla.mediagonal.net.ftp: F 1:1(0) ack 1 win 5840 <nop,nop,timestamp 45286537 3089747194> (DF)
14:12:24.491384 blabla.mediagonal.net.ftp > server02.45127: P 1:24(23) ack 1 win 5792 <nop,nop,timestamp 3089747195 45286536> (DF) [tos 0x10] 
14:12:24.491431 server02.45127 > blabla.mediagonal.net.ftp: R 3446717648:3446717648(0) win 0 (DF) [tos 0x10] 
14:12:24.495218 blabla.mediagonal.net.ftp > server02.45127: FP 24:37(13) ack 2 win 5792 <nop,nop,timestamp 3089747195 45286537> (DF) [tos 0x10] 
14:12:24.495225 server02.45127 > blabla.mediagonal.net.ftp: R 3446717649:3446717649(0) win 0 (DF) [tos 0x10]

Davor und danach kommen keine Meldungen mehr bezgl. des Zielhosts, die Connection gibt es auch nicht mehr, ein "netstat -an | grep EST" zeigt bezgl. Port 21 nix mehr an. Von meinem Server mit Hostnamen "server02" aus wird also irgendwie ein ftp-connect zu einem anderen Rechner gemacht. Und das zu verschiedenen FTP-Servern, nicht nur obigem. Nun will ich wissen, welches Programm nun diese ftp-connects verursacht, also den "Übeltäter" finden. Da die Connects aber nur ca. 0.1 Sekunden lang sind, bin ich nicht schnell genug, um mit lsof oder fuser herauszubekommen, welches Programm gerade den entsprechenden Source-Port benutzt, in obigem Beispiel also Port 45127.

Kennt Jemand ein Programm, das zu einem benutzten Source-Port gleich das zugehörige Programm ausspuckt? Auch, wenn das nur für 0.1 Sekunden der Fall ist? Mit tcpdump, ngrep dsniff, tetheral etc. komme ich leider irgendwie nicht weiter ...

Danke im voraus,

mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
Nach oben
Benutzeravatar
thorben
Beiträge: 722
Registriert: 14.09.2003 23:23:49

Beitrag von thorben » 08.03.2005 23:56:48

moin,
netstat kennt den parameter "p" mit

Code: Alles auswählen

watch netstat -tanp | grep 21
solltest du evtl was sehen können

gruß
thorben
Nach oben
Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Beitrag von mistersixt » 09.03.2005 07:25:32

Uiiih, prima, das hilft mir weiter, wieder was gelernt, DANKE!

Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
Nach oben
nepos
Beiträge: 5238
Registriert: 05.01.2005 10:08:12

Beitrag von nepos » 09.03.2005 08:43:08

Coole Sache, watch kannte ich auch noch ned :)
Nach oben
ernohl
Beiträge: 1248
Registriert: 04.07.2002 08:11:56
Wohnort: HL

Beitrag von ernohl » 09.03.2005 09:35:29

mistersixt hat geschrieben:Uiiih, prima, das hilft mir weiter, wieder was gelernt, DANKE!
Als Eselsbrücke: Denk an Blümchen. :wink:

Code: Alles auswählen

netstat -tulpen
Gruß
ernohl
Nach oben
Antworten

Zurück zu „Netzwerk“