找到輪詢我的埠的短暫程序？

我注意到我網路中的一台無頭電腦不斷輪詢另一台電腦上的 VNC 埠。我的問題是，當我看到它連接的埠（使用 tcpdump）並嘗試使用 找到程序時netstat -anp|grep PORT，該程序已經被殺死並且什麼都找不到（該程序似乎存活了不到一毫秒）。

是否有類似於 tcpdump 的東西可以報告程序名稱和 PID？或者一些聰明的方式來做 strace 來擷取程序？

試試auditctl，它會有所幫助。啟用以下規則可能會淹沒您的系統，因此請僅使用表單調試。

auditctl -a exit,always -S execve

參考：https ://linux.die.net/man/8/auditctl

另一種選擇是使用sysdig. 這樣，您可以監視涉及到特定埠的連接的系統呼叫。例如，假設 VNC 伺服器正在偵聽埠 5901：

$ sudo sysdig and fd.sip=<SERVER_IP> and fd.sport=5901

這將為與給定埠上的給定 SERVER_IP 互動的任何程序生成輸出。預設情況下，它將包括程序名稱和 pid。使用者指南包含有關可用過濾器的更多資訊以及輸出中可以包含哪些資訊。

引用自：https://unix.stackexchange.com/questions/529500