Linux API用于确定进程拥有的套接字

Question

是否有Linux库可以告诉我哪些进程拥有哪些IP套接字？我想我正在寻找lsof -i的程序化等价物。最后，我想将通过libpcap看到的数据包关联到进程。

更新：有几个人建议使用/proc/<pid>/net/tcp和udp，但在我的系统上，每个进程都会显示相同的数据，因此不会帮助

Answer 1

我认为你首先要查看/ proc / * / fd中的open fds，例如

4 -> socket:[11147]

然后在/ proc / net / tcp（或/ proc / net / udp）中查找引用的套接字（通过inode），例如

12: B382595D:8B40 D5C43B45:0050 01 00000000:00000000 00:00000000 00000000  1000        0 11065 1 ffff88008bd35480 69 4 12 4 -1

Answer 2

要确定流程所拥有的套接字，您只需使用netstat即可。这是一个带有netstat输出（缩短）的示例，其中的选项可以满足您的需求。

$ sudo netstat -apeen
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 127.0.0.1:8118          0.0.0.0:*               LISTEN      138        744850      13248/privoxy   
tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      117        9612        2019/postgres   
udp        0      0 127.0.0.1:51960         127.0.0.1:51960         ESTABLISHED 117        7957        2019/postgres   
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          7740        1989/dhclient   
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     7937     2019/postgres       /var/run/postgresql/.s.PGSQL.5432
unix  2      [ ACC ]     STREAM     LISTENING     958058   8080/emacs          /tmp/emacs1000/server
unix  2      [ ACC ]     STREAM     LISTENING     6969     1625/Xorg           /tmp/.X11-unix/X0
unix  2      [ ]         DGRAM                    9325     1989/dhclient       
unix  3      [ ]         STREAM     CONNECTED     7720     1625/Xorg           @/tmp/.X11-unix/X0

确保以root身份运行netstat，否则您将收到以下消息：

(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)

netstat manpage的-apeen选项说明：

-a, --all
    Show both listening and non-listening sockets. With the
    --interfaces option, show interfaces that are not up

-p, --program
    Show the PID and name of the program to which each socket
    belongs.

-e, --extend
    Display additional information. Use this option twice for
    maximum detail.

--numeric , -n
    Show numerical addresses instead of trying to determine symbolic host, port or user names.

--numeric-hosts
    shows numerical host addresses but does not affect the resolution of port or user names.

--numeric-ports
    shows numerical port numbers but does not affect the resolution of host or user names.

--numeric-users
    shows numerical user IDs but does not affect the resolution of host or port names.

Answer 3

/proc文件系统提供有关每个进程的详细信息，包括网络信息。 /proc/net/tcp中列出了打开的套接字信息。 IPv6套接字在tcp6文件中单独列出。套接字信息包括本地和远程端口以及套接字inode编号等信息，可以通过解析/proc/{pid}/fd/*信息将其映射回进程。

如果您不熟悉/proc文件系统，它基本上是一个虚拟文件系统，允许内核将各种有用信息发布到用户空间。这些文件通常是简单的结构化文本文件，易于解析。

例如，在我的Ubuntu系统上，我使用netcat进行测试，并运行nc -l -p 8321来侦听端口8321.查看tcp套接字信息：

$ cat /proc/net/tcp
  sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                     
   0: 00000000:2081 00000000:0000 0A 00000000:00000000 00:00000000 00000000  1000        0 26442 1 de0c8e40 300 0 0 2 -1                             
   1: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 7019 1 de0c84c0 300 0 0 2 -1                              

第一行显示它正在侦听指向8321（0x2081）的所有地址。 inode编号为26442，我们可以使用它来查找/proc/{pid}/fd/*中匹配的pid，其中包含从文件句柄号到设备的一堆符号链接。因此，如果我们查找netcat的pid，并检查其fd映射：

$ ls -l /proc/7266/fd
total 0
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 0 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 1 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 2 -> /dev/pts/1
lrwx------ 1 gavinb gavinb 64 2009-12-31 09:10 3 -> socket:[26442]

在那里我们看到这个过程中的文件描述符3被映射到带有inode 26442的套接字，就像我们期望的那样。

很明显，要构建一个完整的套接字映射，您需要首先枚举所有/proc/**/fd/*个文件，查找套接字符号链接，然后将套接字inode与来自/proc/net/tcp的表匹配。端点信息。

这是lsof工具的工作方式（有关实施，请参阅lsof/dialects/linux/dsocket.c）。

• Wikipedia on procfs
• The Linux /proc filesystem as a Programmer's Tool

Answer 4

对于与您相同的网络命名空间中的所有进程，

/proc/<pid>/net等同于/proc/net - 换句话说，它是“全局”信息。

您可以执行lsof和fuser所做的事情，即迭代/proc/<pid>/fd/*和/proc/net/*寻找匹配的inode。快速演示：

#!/bin/sh
pgrep "$@" | while read pid; do
    for fd in /proc/$pid/fd/*; do
        name=$(readlink $fd)
        case $name in
            socket:\[*\])
                ino=${name#*:}
                for proto in tcp:10 tcp6:10 udp:10 udp6:10 unix:7; do
                    [[ ! -e /proc/net/${proto%:*} ]] ||
                    awk "
                        \$${proto##*:} == ${ino:1:${#ino}-2} {
                            print \"${proto%:*}:\", \$0
                            exit 1
                        }
                    " /proc/net/${proto%:*} || break
                done
                ;;
        esac
    done
done

您可以将其扩展到其他协议（我也在/proc/net/中看到ax25，ipx，packet，raw，raw6，udplite，udp6lite）或者用您选择的语言重写。

Answer 5

您可以从proc文件系统中读取它们。您可能想要查看的“文件”可在以下位置找到 /proc/<pid>/net（即tcp，udp，unix）

这里有一些使用proc文件系统的examples

Answer 6

您可以尝试使用strace运行lsof并查看/ proc中的哪些文件从中获取数据。

Answer 7

我会去消息来源：

http://ubuntuforums.org/showthread.php?t=1346778