你们见过这样的吗？两个pid共用一个tcp端口

wantaugust

e@localhost net]$ cat /proc/2660/net/tcp; cat /proc/5163/net/tcp
2660是firefox的进程号，5163是transmision的进程号
  sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                     
   0: 00000000:006F 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 14938 1 ffff8800b2208000 100 0 0 10 0                     
   1: 00000000:C8D5 00000000:0000 0A 00000000:00000000 00:00000000 00000000  1000        0 129406 1 ffff88009d5a3100 100 0 0 10 0                    
   2: 00000000:0016 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 19730 1 ffff8800b91c0000 100 0 0 10 0                     
   3: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 27663 1 ffff880097150000 100 0 0 10 0                     
   4: 00000000:983F 00000000:0000 0A 00000000:00000000 00:00000000 00000000    29        0 19019 1 ffff8800b2208700 100 0 0 10 0                     
   5: CA00A8C0:E976 88CC7D4A:01BB 02 00000001:00000000 01:00000270 00000003  1000        0 132942 2 ffff8800a3a93f00 800 0 0 1 5      
看看下面这行，这是firefox的端口号是E977_______________________________________________________
   6: CA00A8C0:E977 88CC7D4A:01BB 02 00000001:00000000 01:00000290 00000003  1000        0 132945 2 ffff8800a3a94d00 800 0 0 1 5                     
  sl  local_address rem_address   st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode                                                     
   0: 00000000:006F 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 14938 1 ffff8800b2208000 100 0 0 10 0                     
   1: 00000000:C8D5 00000000:0000 0A 00000000:00000000 00:00000000 00000000  1000        0 129406 1 ffff88009d5a3100 100 0 0 10 0                    
   2: 00000000:0016 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 19730 1 ffff8800b91c0000 100 0 0 10 0                     
   3: 0100007F:0277 00000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 27663 1 ffff880097150000 100 0 0 10 0                     
   4: 00000000:983F 00000000:0000 0A 00000000:00000000 00:00000000 00000000    29        0 19019 1 ffff8800b2208700 100 0 0 10 0                     
   5: CA00A8C0:E976 88CC7D4A:01BB 02 00000001:00000000 01:0000026F 00000003  1000        0 132942 2 ffff8800a3a93f00 800 0 0 1 5     
看看下面这行，这是transmision的端口号，E977，不同的pid用同一个TCP E977端口，这让我的防火墙怎么过滤呀，这样属于正常马，你们也这样吗，谁给解释解释呀               
   6: CA00A8C0:E977 88CC7D4A:01BB 02 00000001:00000000 01:0000028F 00000003  1000        0 132945 2 ffff8800a3a94d00 800 0 0 1 5                     

wantaugust

好吧，我接受事实，那么怎么区别同一个端口接收的数据包是那个进程需要的那

wLiu2007

五元组能确定一个会话；

wantaugust

回复 3# wLiu2007


    不是sip sport dip dport四元吗，第五个是什么，谢谢

wantaugust

6: CA00A8C0:E977 88CC7D4A:01BB 02 00000001:00000000 01:00000290 00000003  1000        0 132945 2 ffff8800a3a94d00 800 0 0 1 5     
6: CA00A8C0:E977 88CC7D4A:01BB 02 00000001:00000000 01:0000028F 00000003  1000        0 132945 2 ffff8800a3a94d00 800 0 0 1 5  
我快疯了，firefox和transmision一个是网页一个是bt下载，他们这两个不相干的pdi居然用同一个E977端口，而且，两个pid下的net/tcp中的链接都是指向同一个目的ip还是同一个目的端口，发往88CC7D4A:01BB的数据包根本没法判断是那个pid发出去的，这防火墙没法写了