Как да направя като netstat -p, но по-бързо?

Разгледайте този отговор, където са споменати различни методи и програми, които извършват преобразуване на сокет към процес. Можете също да опитате няколко допълнителни техники за подобряване на производителността:

1. Кеширане на файловите дескриптори в /proc и информацията в /proc/net. Това се прави от програмите, споменати в свързания отговор, но е жизнеспособно само ако процесът ви продължава повече от няколко секунди.
2. You might try getpeername(), but this relies you knowing of the possible endpoints and what processes they map to. Your questions suggests that you are connecting sockets locally, you might try using Unix sockets which allow you to receive the credentials of a peer when exchanging messages by passing SO_PASSCRED to setsockopt(). Take a look at these examples (they're pretty nasty but the best I could find).
   • http://www.lst.de/~okir/blackhats/node121.html
   • http://www.zanshu.com/ebook/44_secure-programming-cookbook-for-c-and-cpp/0596003943_secureprgckbk-chp-9-sect-8.html
3. Разгледайте fs/proc/base.c в ядрото на Linux. Това е сърцето на информацията, дадена от резултата от връзка за четене на файлов дескриптор в /proc/PID/fd/FD. Значителна част от режийните разходи е предаването на заявките нагоре и надолу по VFS слоя, многобройните заключвания, които се случват на всички структури от данни на ядрото, които предоставят предоставената информация, и стрингифицирането и дестрингирането в ядрото и съответно във вашия край. Можете да адаптирате част от кода в този файл, за да генерирате тази информация без много от междинните слоеве, по-специално минимизиране на заключването до веднъж на процес или просто веднъж на сканиране на целия набор от данни, който търсите.

Моята лична препоръка е просто да го форсирате засега, в идеалния случай да преминете през процесите в /proc в обратен цифров ред, тъй като по-новите и интересни процеси ще имат по-високи PID и да се върнете веднага щом откриете резултатите, които търсите . Правенето на това веднъж на входяща връзка е сравнително евтино, наистина зависи от това колко критична е производителността на вашето приложение. Определено ще откриете, че си струва да заобиколите извикването на netstat и директно да анализирате новата връзка от /proc/net/PROTO, след което да намерите сокета в /proc/PID/fd. Ако целият ви трафик е localhost, просто превключете към Unix сокети и вземете идентификационните данни директно. Писане на нов syscall или proc модул, който изхвърля огромни количества данни относно файлови дескриптори, които бих запазил за последно.