Итак, у меня есть хост CentOS6, на котором какой-то процесс кэшировал старый DNS-сервер, и я пытаюсь выяснить, что это за процесс. (Допустим, я не могу go перезагружать серверы вслепую, и мне нужно физически подтвердить, какая программа делает запросы к этому старому DNS-серверу).
Я просматривал исходящий трафик DNS c от упомянутый хост к старому DNS-серверу, и он исходит из какого-то недолговечного эфемерного порта, который открывается и закрывается сразу после этого, и я пытаюсь выяснить, какой процесс запросил его.
пример:
$ tcpdump -i eth0 port 53 | grep "> old.dns.host"
19:26:33.442632 IP my.host.46133 > old.dns.host.domain: 56541+ PTR? 49.6.123.10.in-addr.arpa. (42)
my.host все еще обращается к старому DNS-серверу old.dns.host через временный порт 46133. Но при проверке netstat этот порт отсутствует. Даже при просмотре netstat и использовании - c ничего не происходит.
В общем - если у меня есть порт, который открывается только на несколько миллисекунд на время запроса, как мне найти какой процесс его открыл?