Algum processo na minha máquina Solaris 10 está enviando TCP SYNs para uma máquina remota. A máquina remota nunca responde, então a conexão não é estabelecida. Como descubro qual processo está iniciando isso?
Eu tenho visto os scripts do DTrace, mas a) eu não conheço o Dtrace bem o suficiente para criar o meu, b) não encontrei um script existente, ec) alguns que eu encontrei use testes não disponíveis em minha versão.
Obrigado por qualquer insight. Gary
Dê uma olhada neste script do Dtrace: conntrack
# ./conntrack -h
USAGE: ./conntrack [-h] [-p port] [-c command] [-u user]
-p port # filter by port (incompatible with user and command)
-c command # filter by command (incompatible with port and user)
-u user # filter by user (incompatible with port and command)
eg,
./conntrack -p 22 # snoop connections to port 22
Se você souber o IP e a porta de destino, poderá executar:
pfiles $pid
para cada processo em seu sistema para determinar qual deles tem um soquete aberto com atributos. Também pode ser melhor tentar usar
lsof -i
como root para ver se você consegue o socket enquanto ainda está vivo.
Como a máquina é externa, você pode tentar ver a quem ela pertence e qual software você tem deles para limitar os processos a serem examinados.
Para cada processo em seu sistema, pause-o com kill -STOP $pid , veja se as tentativas de conexão são interrompidas e continue com kill -CONT $pid .