Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

Proceso asociado a un puerto TCP/UDP

Dom Jul 08, 2012 4:50 pm

Buenas,

La idea de este post es saber cómo obtener el proceso asociado a un puerto TCP/UDP que está escuchando en una máquina Unix.

Podemos utilizar netstat con el parámetro p:
Código:
#netstat -tlpn
Proto  Recib Enviad Dirección local         Dirección remota       Estado       PID/Program name     
tcp        0      0 0.0.0.0:8888            0.0.0.0:*               ESCUCHAR    4539/nc 


Otra alternativa es usar lsof:
Código:
#lsof -i
COMMAND    PID  USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
nc        4539 dalvarez    3u  IPv4  962355      0t0  TCP *:8888 (LISTEN)


Pero hay veces que no tenemos la opcion "-p" para netstat, ni el comando lsof. En estos casos ¿cómo lo sacamos?

Re: Proceso asociado a un puerto TCP/UDP

Mar Jul 10, 2012 10:22 pm

Hola

No lo he probado nunca pero supongo que utilizando el contenido del directorio virtual /proc/net/(tcp|udp) y relacionandolo con el contenido del directorio /proc/${PID} (creo que el mejor candidato seria el subdirectorio fd) podrias llegar a obtener la misma informacion.

Ahi van unos enlaces:

Exploring the /proc/net/ Directory
Cosas que ver en /proc

El ultimo enlace un poco a modo de spam ;)

Saludos
Publicar una respuesta