RE: [ml] Audit di traffico tcp e udp

Ciao Michele, puoi se non erro usare fuser -n tcp "numerodiporta" ed in output hai il pid che sta usando
quella porta tcp.

Un tracing realtime magari con ntop lo puoi fare.

I miei €0,02 che tanto il caffé alla macchinetta costa €0,28 così faccio cifra tonda :-)

Paolo
________________________________________
From: ml-bounces@xxxxxxxxxxxxx [ml-bounces@xxxxxxxxxxxxx] On Behalf Of Michele Orsenigo [gira08@xxxxxxxx]
Sent: Wednesday, December 03, 2008 12:13 PM
To: ml@xxxxxxxxxxxxx
Subject: [ml] Audit di traffico tcp e udp

Su una postazione desktop, con Debian sid e kernel custom 2.6.26, qualche
programma, ogni tanto, mi apre connessioni tcp e/o udp non usuali, come
rivelato dai log del firewall che presiede l'accesso internet.

Ora, tramite iptables, riesco tranquillamente a tracciare il traffico,
compreso uid e gid con il quale gira il processo, ma dato che l'utente è
sempre il medesimo (escluso root che però fa girare solo i demoni di
sistema), non riesco a risalire al programma.

C'è qualcosa, di non eccessivamente pesante per tracciare anche il pid ?
O devo proprio lanciare ogni singolo programma con un'utenza tutta sua ?

Grazie

Michele Orsenigo
gira08@xxxxxxxx
----------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

--
The information transmitted is intended for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer.