Memperoleh wawasan tentang lalu lintas TCP

0

Saya memiliki iMac di mana saya mematikan hampir semua aplikasi. Browser, Skype, Spotify semua dimatikan. Meskipun begitu, ketika saya melakukannya tcpdumpsaya masih mencatat banyak lalu lintas TCP.

Bagaimana saya bisa mendapatkan wawasan dari mana lalu lintas ini berasal? Aplikasi atau pemrosesan apa yang terlibat?

macos networking tcp Randomblue
sumber
Sudahkah Anda melihat output dari netstat -pn?
Nathan C
@NathanC: netstat: n: protokol tidak dikenal atau tidak
berdokumen
jadi tangkap lalu lintas itu dan analisis dengan wireshark
Alex P.
Coba saja netstat -n. Rupanya berbeda dari * nix style.
Nathan C
1
Netstat -p Mac tidak memberikan proses (sepertinya juga tidak ada yang setara), tetapi untuk menentukan jenis protokol, maka kesalahannya. netstat -anptcp akan memberikan semua soket TCP yang digunakan.
Nevin Williams

Jawaban:

2

Untuk melihat proses apa yang saat ini terikat ke soket TCP di Mac OS X (10.8), orang dapat menggunakan lsof -itcpyang akan memberikan daftar file terbuka (koneksi jaringan direpresentasikan sebagai jenis file khusus) dan ID proses yang terikat ke soket terbuka . Saat ini di sistem saya:

[mini-nevie:~] nevinwilliams% lsof -itcp
COMMAND     PID          USER   FD   TYPE             DEVICE SIZE/OFF NODE NAME
WebProces 91698 nevinwilliams   27u  IPv4 0x902ab8abaca8b3f9      0t0  TCP 192.168.2.11:51499->stackoverflow.com:http (ESTABLISHED)
WebProces 91698 nevinwilliams   43u  IPv4 0x902ab8abb8727269      0t0  TCP 192.168.2.11:51475->stackoverflow.com:http (ESTABLISHED)

Perhatikan bahwa daftar ini memberi saya nama port (ditemukan di / etc / services) alih-alih nomornya, yang berguna untuk membantu mengidentifikasi jenis lalu lintas. Gunakan lsof -Pitcpuntuk daftar numerik.

Saya melihat bahwa satu proses dengan ID 91698 memiliki dua koneksi web ke stackoverflow.com ...

Untuk mendapatkan informasi proses penuh pada PID 91695, saya dapat menggunakan ps -f -p91698...

mini-nevie:~] nevinwilliams% ps -f -p91698
  UID   PID  PPID   C STIME   TTY           TIME CMD
  501 91698 91695   0 12:41am ??        26:05.50 /System/Library/StagedFrameworks/Safari/WebKit2.framework/WebProcess.app/Contents/MacOS/WebProcess /System/Library/StagedFrameworks/Safari/WebKit2.framework/WebKit2 -type webprocess -servicename com.apple.WebKit.WebProcess-91695-0x10d7011e0 -localization en_US

yang memberitahu saya itu bagian dari kerangka Safari, jelas karena saya terhubung ke situs dengan Safari saat saya menulis ini.

Untuk informasi lebih lanjut tentang netstat, lsofdan ps, melihat masing-masing manhalaman.

Nevin Williams
sumber