Welcher Prozess sendet(!) auf welchem Port?
Hi, eine Firewall lässt eine Anfrage an einen Dienst (Port 443) im Internet nicht durch. (Das ist soweit klar und OK, da solcherlei Kommunikation via Proxy erfolgen soll. Der Proxy ist im System eingetragen und funktioniert mit allem was ich so teste. Anscheinend gibt es aber Programme in denen ich keinen Proxy antragen kann und die auch nicht den im System hinterlegten Proxy nutzen.) Im FW-Log sehe ich den Source-Port der Anfrage. Wie finde ich nun heraus welcher Prozess diesen Port nutzt? Hilft da nur ein Packet-Dump und eine Analyse der kopierten Pakete oder gibt es einen andern Weg ohne viel Aufwand zu sehen welcher Prozess von einem bekannte Port sendet? Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
On Sat, 2 Apr 2022 13:16, Bernd Nachtigall <bnacht@...> wrote:
Hi,
eine Firewall lässt eine Anfrage an einen Dienst (Port 443) im Internet nicht durch. (Das ist soweit klar und OK, da solcherlei Kommunikation via Proxy erfolgen soll. Der Proxy ist im System eingetragen und funktioniert mit allem was ich so teste. Anscheinend gibt es aber Programme in denen ich keinen Proxy antragen kann und die auch nicht den im System hinterlegten Proxy nutzen.)
Im FW-Log sehe ich den Source-Port der Anfrage. Wie finde ich nun heraus welcher Prozess diesen Port nutzt? Hilft da nur ein Packet-Dump und eine Analyse der kopierten Pakete oder gibt es einen andern Weg ohne viel Aufwand zu sehen welcher Prozess von einem bekannte Port sendet?
Bernd
Schon mal von "netstat" gehört? z.B. als root: (Auf dem Rechner der die Verbindung anstößt) #> netstat -Ttulpen eventuell das -l durch ein -a ersetzen, wenn nur die Ports numerisch sein sollen, das -n durch --numeric-ports tauschen. HtH - Yamaban
'netstat' ist im Paket 'net-tools-deprecated', das nicht automatisch installiert wird. Der aktuell für solche Abfragen bevorzugte Befehl ist 'ss' aus dem Paket 'iproute2'. Zudem hatte ich den OP so verstanden, dass er die Anwendung sucht, die mit dem ihm bekannten Source-Port auf einen Listener zugreift. 'netstat -tulpen' zeigt doch aber stattdessen die Listener mit ihren Ports und PIDs an. Am 02.04.22 um 19:19 schrieb Yamaban:
Schon mal von "netstat" gehört? z.B. als root: (Auf dem Rechner der die Verbindung anstößt) #> netstat -Ttulpen
eventuell das -l durch ein -a ersetzen, wenn nur die Ports numerisch sein sollen, das -n durch --numeric-ports tauschen.
HtH - Yamaban
-- Viele Grüße Michael
Am 02.04.22 um 19:56 schrieb Michael Behrens: (...)
Zudem hatte ich den OP so verstanden, dass er die Anwendung sucht, die mit dem ihm bekannten Source-Port auf einen Listener zugreift. 'netstat -tulpen' zeigt doch aber stattdessen die Listener mit ihren Ports und PIDs an. Genau, danke.
Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
On 02.04.22 13:16, Bernd Nachtigall wrote:
eine Firewall lässt eine Anfrage an einen Dienst (Port 443) im Internet nicht durch. (Das ist soweit klar und OK, da solcherlei Kommunikation via Proxy erfolgen soll. Der Proxy ist im System eingetragen und funktioniert mit allem was ich so teste. Anscheinend gibt es aber Programme in denen ich keinen Proxy antragen kann und die auch nicht den im System hinterlegten Proxy nutzen.)
Im FW-Log sehe ich den Source-Port der Anfrage. Wie finde ich nun heraus welcher Prozess diesen Port nutzt? Hilft da nur ein Packet-Dump und eine Analyse der kopierten Pakete oder gibt es einen andern Weg ohne viel Aufwand zu sehen welcher Prozess von einem bekannte Port sendet?
ss --extended --processes -o state all '( sport = :12345 )' Die Wahrscheinlichkeit ist aber hoch, dass der Prozess sich in der Zwischenzeit einen neuen Source Port gewürfelt hat. Viele Grüße Ulf
Am 02.04.22 um 19:43 schrieb Ulf Volmer:
On 02.04.22 13:16, Bernd Nachtigall wrote: (...)
Im FW-Log sehe ich den Source-Port der Anfrage. Wie finde ich nun heraus welcher Prozess diesen Port nutzt? Hilft da nur ein Packet-Dump und eine Analyse der kopierten Pakete oder gibt es einen andern Weg ohne viel Aufwand zu sehen welcher Prozess von einem bekannte Port sendet?
ss --extended --processes -o state all '( sport = :12345 )'
Ah ja, ich hatte ss nur für listening ports im Kopf. Danke!
Die Wahrscheinlichkeit ist aber hoch, dass der Prozess sich in der Zwischenzeit einen neuen Source Port gewürfelt hat. Ja, das würde ich für den kurzen Moment der Analyse in einer Schleife laufen lassen.
Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
Hallo, Am Sa, 02 Apr 2022, Bernd Nachtigall schrieb: [..]
Im FW-Log sehe ich den Source-Port der Anfrage. Wie finde ich nun heraus welcher Prozess diesen Port nutzt? Hilft da nur ein Packet-Dump und eine Analyse der kopierten Pakete oder gibt es einen andern Weg ohne viel Aufwand zu sehen welcher Prozess von einem bekannte Port sendet?
lsof -i :portnummer HTH, -dnh -- "I have a very firm grasp on reality! I can reach out and strangle it any time!" -- from the BSD fortune file
participants (5)
-
Bernd Nachtigall -
David Haller -
Michael Behrens -
Ulf Volmer -
Yamaban