Tcpdump - process origine?

PmGs · Septembre 24, 2020, 7:16am

Bonjour à tous,
tcpdump donne le port origine d’une transmission.
Peut-on retrouver le nom du process origine lorsque ce process (pid/port) n’existe plus?
Un lecteur connaît-il une commande directe ou une capacité de déclencher un script sur un filtre tcpdump ou équivalent?

AnonymousCoward · Septembre 23, 2020, 3:47pm

Il y a différentes manières :

utiliser un logiciel IDS tel que, mais il y en beaucoup d’autres, le très connu Suricata
utiliser NFQUEUE pour écrire son propre logiciel. Le lien provient du blog de Eric Leblond, un des auteurs de Suricata si ce n’est le principal
utiliser iptables / nftables et NFLOG pour extraire des paquets depuis iptables. Vers tcpdump ou vers un autre logiciel
utiliser iptables / nftables pour générer une entrée dans le log du système lorsque l’on rencontre tel ou tel paquet. Et avoir un logiciel qui surveille le fichier log, du genre de fail2ban.

Il est possible de faire soi-même mais ce n’est pas trivial. Notamment quand on doit traiter les ~600 connections créées par Google Maps pour une seule page.

Bon courage.
–AnonymousCoward

PmGs · Septembre 23, 2020, 3:58pm

Merci pour tes idées, j’avais pensé à regarder du côté d’iptables mais ne connaît pas les autres pistes données. Je vais me documenter et voir ce que je peux faire.
Normalement je ne devrais pas avoir à faire avec Google & co, je suis sur un réseau local, cela concerne mon précédent post ‹ Aide pour analyse logs ssh / systemd ›

AnonymousCoward · Septembre 23, 2020, 4:57pm

Si c’est que tu souhaites connaitre l’origine des connexions à ssh, c’est sur l’ordinateur d’origine qu’il faut que tu utilises un logiciel tel que, par exemple :

auditd
SystemTap
LTTng
DTrace

Cela te permettra de savoir quel processus a utilisé l’appel système connect() .

Sinon, utiliser iptables / nftables pour bloquer les connections TCP à destination de ton autre ordinateur sur le port 22.
Si cela permet de bloquer les connections que tu inities manuellement avec le client ssh alors que les connexions curieuses continuent, il va falloir penser à appeler « le FBI ».

–
AnonymousCoward

PmGs · Septembre 23, 2020, 5:19pm

Concernant auditd j’ai déjà planté 2 fois mon PC, voir Auditd - Attention, j’en conclus pas que ça ne fonctionne pas mais que je ne suis pas encore prêt à savoir l’utiliser.

Je ragarderai tes autres propositions.

A suivre.

PmGs · Septembre 24, 2020, 7:19am

Finalement j’ai trouvé un utilitaire que je ne connaissais pas et moins lourd qu’un IDS. Comme par ailleurs c’est sur mon réseau local, je connais mes applications mais en l’occurrence j’avais oublié un essai BackupPC!
Pour info cet utilitaire est lastcomm du paquat acct.