linux – 我怎么知道哪个程序正在嗅探数据包?

我发现机器的NIC正在以混杂模式运行,现在我如何找到实际捕获数据包的程序?
最佳答案
您可以尝试运行lsof(1)并检查所有将套接字打开为SOCK_RAW的进程.如果您正在运行某种类型的DHCP客户端,这很可能会给您至少一个误报,但它也会显示在混杂模式下运行网络接口的进程.

尝试这样的事情:

sudo lsof -Pnl | grep SOCK_RAW

转载注明原文:linux – 我怎么知道哪个程序正在嗅探数据包? - 代码日志