Собираем TCP|UDP сессии в Linux

Список TCP|UDP

За что я люблю Linux системы, это за то что в нем все, это “Файл”:

• Файл -> Файл

• Директория -> Файл

• Устройство -> Файл

• Сокет -> Файл

• …

Информация о всех tcp/upd сессиях так находится в файлах в /proc/net/tcp[6] и /proc/net/udp[6].

sl local_address rem_address  st tx_queue rx_queue tr tm->when retrnsmt  uid timeout inode
0: 0100007F:1B1E 00000000:0000 0A 00000000:00000000 00:00000000 00000000 1000    0 53620300 1 0000000000000000 100 0 0 10 0
1: 0100007F:DFFF 00000000:0000 0A 00000000:00000000 00:00000000 00000000 1000    0 46149718 1 0000000000000000 100 0 0 10 0
2: 0100007F:77CA 00000000:0000 0A 00000000:00000000 00:00000000 00000000 1000    0 52642353 1 0000000000000000 100 0 0 10 0

По структуре данного формата можно обратится к документации по ядру linux

В данной структуре есть практически все, кроме принадлежности к процессу, чего нам не хватает для реализации ТЗ.

Процессы

Всю информацию о процессе, где можно получить… Правильно из файлов :)

В том числе и об открытых сокетах, которая хранится в /proc/PID/fd/.

Вот к примеру:

sergey@steel /proc/16381/fd $ for i in $(ls); do readlink $i;done
/dev/null
/dev/null
socket:[49244920]
/dev/urandom
socket:[49244917]
socket:[49245354]
socket:[49244939]
socket:[49244941]
socket:[49234589]
pipe:[49245313]
pipe:[49244937]
pipe:[49244937]

Т.е. из данного списка мы можем спокойно забрать только socket, где числовое значение будет значение inode.

Информацию об имени и pid можно получить из /proc/PID/status.