Wireshark: sledování určitého procesu

BBNAIX

Wireshark: sledování určitého procesu
« kdy: 05. 10. 2015, 02:38:15 »
Dobrý večer,

Je nějaká možnost pomocí programu Wireshark vytvořit filtr nebo pravidlo pro sledování určitého procesu např Steam ?
« Poslední změna: 05. 10. 2015, 08:15:17 od Petr Krčmář »


Filip Jirsák nepřihlášený

Re:Wireshark (Sledování určitého procesu)
« Odpověď #1 kdy: 05. 10. 2015, 07:00:51 »
Myslím, že není – Wireshark sleduje provoz až na úrovni ovladače síťové karty, kde už/ještě informace o procesech nejsou k dispozici. Některé informace o IP komunikaci pro jednotlivé procesy umí zobrazovat např. utility od Sysinternals, třeba by to šlo pro vaše potřeby zkombinovat.

wqwergq

Re:Wireshark: sledování určitého procesu
« Odpověď #2 kdy: 05. 10. 2015, 09:26:53 »
jedina moznost je vytvorit filter na src/dsp IP/port

František Koudelka


nobody



j

Re:Wireshark: sledování určitého procesu
« Odpověď #5 kdy: 05. 10. 2015, 17:10:20 »
Pod linuxem se daji pakety omarkovat podle procesu (jsou na to extension do iptables)  ve widlich ... to nijak jednoduse a primo asi nepujde. Jedine jak bylo zmineno filtrovat podle protokolu/portu/... - odfiltrovat to, co je od neceho jineho, a zbude to, co hledas.

BBNAIX

Re:Wireshark: sledování určitého procesu
« Odpověď #6 kdy: 05. 10. 2015, 17:45:58 »
Dobrý večer,

Děkuji za reakce, Musím podotknout že jsem dříve používal filtr nebo nějakou metodu jak zachytit pouze datový tok určitého procesu pomocí programu Wireshark.
Bohužel nemohu si vzpomenout jak jsem to dělal...

František Koudelka: Tohle mě nefunguje
netstat -taucp | grep <pid or process name>


Někdo nějaké další nápady?


PS: Nechci jiný program ale děkuji za snahu

František Koudelka

Re:Wireshark: sledování určitého procesu
« Odpověď #7 kdy: 05. 10. 2015, 21:37:32 »
Blbě jsem se vyjádřil, je to 3. řešení. Cituji:
So as to do so:

    create a test network namespace:

    ip netns add test

    create a pair of virtual network interfaces (veth-a and veth-b):

    ip link add veth-a type veth peer name veth-b

    change the active namespace of the veth-a interface:

    ip link set veth-a netns test

    configure the IP addresses of the virtual interfaces:

    ip netns exec test ifconfig veth-a up 192.168.163.1 netmask 255.255.255.0
    ifconfig veth-b up 192.168.163.254 netmask 255.255.255.0

    configure the routing in the test namespace:

    ip netns exec test route add default gw 192.168.163.254 dev veth-a

    activate ip_forward and establish a NAT rule to forward the traffic coming in from the namespace you created (you have to adjust the network interface and SNAT ip address):

    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -s 192.168.163.0/24 -o YOURNETWORKINTERFACE -j SNAT --to-source YOURIPADDRESS

    (You can also use the MASQUERADE rule if you prefer)

    finally, you can run the process you want to analyze in the new namespace, and wireshark too:

    ip netns exec test thebinarytotest
    ip netns exec test wireshark

    You'll have to monitor the veth-a interface.

aaa158

  • ***
  • 242
    • Zobrazit profil
    • E-mail
Re:Wireshark: sledování určitého procesu
« Odpověď #8 kdy: 06. 10. 2015, 08:52:34 »
Huh to vyzera komplikovane ;-) Ak to chces robit "rucne" (tj. nie cez skript):

  • "pgrep <meno procesu>" - zisti jeden prip viac PID
  • "lsof -p <PID> | grep '\s*IP' " - zisti otvorene TCP & UDP porty
  • wireshark + filter na porty ^^
  • Profit!