Proceso asociado a un puerto TCP/UDP

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Proceso asociado a un puerto TCP/UDP

Notapor dalvarez_s » Dom Jul 08, 2012 4:50 pm

Buenas,

La idea de este post es saber cómo obtener el proceso asociado a un puerto TCP/UDP que está escuchando en una máquina Unix.

Podemos utilizar netstat con el parámetro p:
Código: Seleccionar todo
#netstat -tlpn
Proto  Recib Enviad Dirección local         Dirección remota       Estado       PID/Program name     
tcp        0      0 0.0.0.0:8888            0.0.0.0:*               ESCUCHAR    4539/nc 


Otra alternativa es usar lsof:
Código: Seleccionar todo
#lsof -i
COMMAND    PID  USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
nc        4539 dalvarez    3u  IPv4  962355      0t0  TCP *:8888 (LISTEN)


Pero hay veces que no tenemos la opcion "-p" para netstat, ni el comando lsof. En estos casos ¿cómo lo sacamos?
dalvarez_s
:-)
:-)
 
Mensajes: 1
Registrado: Lun Mar 12, 2012 9:15 pm

Re: Proceso asociado a un puerto TCP/UDP

Notapor neofito » Mar Jul 10, 2012 10:22 pm

Hola

No lo he probado nunca pero supongo que utilizando el contenido del directorio virtual /proc/net/(tcp|udp) y relacionandolo con el contenido del directorio /proc/${PID} (creo que el mejor candidato seria el subdirectorio fd) podrias llegar a obtener la misma informacion.

Ahi van unos enlaces:

Exploring the /proc/net/ Directory
Cosas que ver en /proc

El ultimo enlace un poco a modo de spam ;)

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado