Как сделать как netstat -p, но быстрее?

Взгляните на этот ответ, где упоминаются различные методы и программы, выполняющие сопоставление сокета с процессом. Вы также можете попробовать несколько дополнительных методов для повышения производительности:

1. Кэширование файловых дескрипторов в /proc и информации в /proc/net. Это делается программами, упомянутыми в связанном ответе, но это возможно только в том случае, если ваш процесс длится более нескольких секунд.
2. You might try getpeername(), but this relies you knowing of the possible endpoints and what processes they map to. Your questions suggests that you are connecting sockets locally, you might try using Unix sockets which allow you to receive the credentials of a peer when exchanging messages by passing SO_PASSCRED to setsockopt(). Take a look at these examples (they're pretty nasty but the best I could find).
   • http://www.lst.de/~okir/blackhats/node121.html
   • http://www.zanshu.com/ebook/44_secure-programming-cookbook-for-c-and-cpp/0596003943_secureprgckbk-chp-9-sect-8.html
3. Взгляните на fs/proc/base.c в ядре Linux. Это основная часть информации, полученной в результате ссылки на чтение файлового дескриптора в /proc/PID/fd/FD. Значительная часть накладных расходов — это передача запросов вверх и вниз по уровню VFS, многочисленные блокировки, происходящие во всех структурах данных ядра, которые предоставляют предоставленную информацию, а также преобразование и удаление строк в ядре и на вашем конце соответственно. Вы можете адаптировать часть кода в этом файле, чтобы генерировать эту информацию без многих промежуточных уровней, в частности, сведя к минимуму блокировку до одного раза на процесс или просто один раз за сканирование всего набора данных, который вам нужен.

Моя личная рекомендация состоит в том, чтобы просто выполнить перебор, в идеале пройтись по процессам в /proc в обратном числовом порядке, так как более свежие и интересные процессы будут иметь более высокие PID и возвращаться, как только вы найдете нужные результаты. . Выполнение этого один раз для каждого входящего соединения является относительно дешевым, это действительно зависит от того, насколько критична производительность вашего приложения. Вы определенно сочтете целесообразным обойти вызов netstat и напрямую проанализировать новое соединение из /proc/net/PROTO, а затем найти сокет в /proc/PID/fd. Если весь ваш трафик является локальным, просто переключитесь на сокеты Unix и получите учетные данные напрямую. Написание нового системного вызова или модуля proc, который выгружает огромные объемы данных, касающихся файловых дескрипторов, которые я бы оставил напоследок.