如何确定哪个进程在Linux上进行UDP通信？

我的机器不断发出udp dns流量请求。我需要知道的是生成此流量的进程的PID

TCP连接中的正常方式是使用netstat/lsof并在pid处获取相关联的进程

是UDP连接是无状态的，因此，当我调用netastat/lsof时，我只能在UDP套接字打开并且正在发送流量时才能看到它

我试过使用

lsof-I UDP

和

netstat-anpue

但是我找不到哪个进程在执行该请求，因为我需要在发送UDP通信量时准确地调用lsof/netstat，如果在发送UDP数据报之前/之后调用lsof/netstat，则无法查看打开的UDP套接字

不可能在发送3/4 udp数据包时准确调用netstat/lsof

我如何识别这个臭名昭著的过程

我已经检查了流量，试图从数据包的内容中识别发送的PID，但无法从流量的内容中识别它

有人能帮我吗

我是这台机器的root用户FEDORA 12 Linux noise.company.lan 2.6.32.16-141.fc12.x86#u 64#1 SMP Wed Jul 7 04:49:59 UTC 2010 x86_64 x86_64 GNU/Linux

编辑：
我在超级用户平台上也问过同样的问题。 当然这类问题更相关的地方

---

流程位于最后一列

这些UDP DNS请求是否会发送到Fedora box配置使用的名称服务器？只要打开Firefox并转到，就会在名称解析时生成UDP数据包流。在终端窗口中运行tcpdump port 53，打开Firefox并转到某个网站，您将了解我的意思。

可以跟踪网络套接字的更改。当新套接字打开时，它会提醒您。

我已经用更多选项尝试过了，netstat-anpue，其中u代表udp，e代表扩展信息，我也用-c continuous选项尝试过。问题是，当“臭名昭著的”进程产生udp通信时，我需要调用netstat，而在extact-istant中无法调用它。对于一个测试，我编写了一个调用gethostbyname的C循环，每10秒我就可以通过netstat查看流量，但我错过了很多请求。有没有办法获得udp/进程通信的历史和一致的方式？运行

tcpdump port 53

并将输出管道输出到日志文件，这样您将看到发出udp请求的应用程序端口。通过了解应用程序的端口，您可以找到应用程序进程本身。您可以看到src端口，是的，但它是UDP，在OP尝试运行lsof时，端口很有可能不会被使用。这不是一个有状态的连接。事实上，快速浏览一下我的tcpdump输出，我会在一秒钟内看到四个不同的源端口。UDP是无状态的，因此当我调用lsof/netstat时，端口不再使用，因此我无法看到进程的PID。Linux套接字监视只是调用lsof/netstat的bash脚本。通过这种方式，不可能在生成udp流量时准确调用它。

 netstat -anp |grep -i udp