Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: BBNAIX 05. 10. 2015, 02:38:15

Název: Wireshark: sledování určitého procesu
Přispěvatel: BBNAIX 05. 10. 2015, 02:38:15
Dobrý večer,

Je nějaká možnost pomocí programu Wireshark vytvořit filtr nebo pravidlo pro sledování určitého procesu např Steam ?
Název: Re:Wireshark (Sledování určitého procesu)
Přispěvatel: Filip Jirsák nepřihlášený 05. 10. 2015, 07:00:51
Myslím, že není – Wireshark sleduje provoz až na úrovni ovladače síťové karty, kde už/ještě informace o procesech nejsou k dispozici. Některé informace o IP komunikaci pro jednotlivé procesy umí zobrazovat např. utility od Sysinternals, třeba by to šlo pro vaše potřeby zkombinovat.
Název: Re:Wireshark: sledování určitého procesu
Přispěvatel: wqwergq 05. 10. 2015, 09:26:53
jedina moznost je vytvorit filter na src/dsp IP/port
Název: Re:Wireshark: sledování určitého procesu
Přispěvatel: František Koudelka 05. 10. 2015, 10:45:45
hezky vypadá 4. řešení odshora http://askubuntu.com/questions/11709/how-can-i-capture-network-traffic-of-a-single-process
Název: Re:Wireshark: sledování určitého procesu
Přispěvatel: nobody 05. 10. 2015, 11:30:12
http://netactview.sourceforge.net/
Název: Re:Wireshark: sledování určitého procesu
Přispěvatel: j 05. 10. 2015, 17:10:20
Pod linuxem se daji pakety omarkovat podle procesu (jsou na to extension do iptables)  ve widlich ... to nijak jednoduse a primo asi nepujde. Jedine jak bylo zmineno filtrovat podle protokolu/portu/... - odfiltrovat to, co je od neceho jineho, a zbude to, co hledas.
Název: Re:Wireshark: sledování určitého procesu
Přispěvatel: BBNAIX 05. 10. 2015, 17:45:58
Dobrý večer,

Děkuji za reakce, Musím podotknout že jsem dříve používal filtr nebo nějakou metodu jak zachytit pouze datový tok určitého procesu pomocí programu Wireshark.
Bohužel nemohu si vzpomenout jak jsem to dělal...

František Koudelka: Tohle mě nefunguje
netstat -taucp | grep <pid or process name>


Někdo nějaké další nápady?


PS: Nechci jiný program ale děkuji za snahu
Název: Re:Wireshark: sledování určitého procesu
Přispěvatel: František Koudelka 05. 10. 2015, 21:37:32
Blbě jsem se vyjádřil, je to 3. řešení. Cituji:
So as to do so:

    create a test network namespace:

    ip netns add test

    create a pair of virtual network interfaces (veth-a and veth-b):

    ip link add veth-a type veth peer name veth-b

    change the active namespace of the veth-a interface:

    ip link set veth-a netns test

    configure the IP addresses of the virtual interfaces:

    ip netns exec test ifconfig veth-a up 192.168.163.1 netmask 255.255.255.0
    ifconfig veth-b up 192.168.163.254 netmask 255.255.255.0

    configure the routing in the test namespace:

    ip netns exec test route add default gw 192.168.163.254 dev veth-a

    activate ip_forward and establish a NAT rule to forward the traffic coming in from the namespace you created (you have to adjust the network interface and SNAT ip address):

    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -s 192.168.163.0/24 -o YOURNETWORKINTERFACE -j SNAT --to-source YOURIPADDRESS

    (You can also use the MASQUERADE rule if you prefer)

    finally, you can run the process you want to analyze in the new namespace, and wireshark too:

    ip netns exec test thebinarytotest
    ip netns exec test wireshark

    You'll have to monitor the veth-a interface.
Název: Re:Wireshark: sledování určitého procesu
Přispěvatel: aaa158 06. 10. 2015, 08:52:34
Huh to vyzera komplikovane ;-) Ak to chces robit "rucne" (tj. nie cez skript):