ייחוס תהליכים בתעבורת רשת (PAINT) / Wireshark מ- DigitalOperatives עשוי להיות מה שאתה מחפש. הוא מבוסס על Wireshark 1.6.5, והוא עובד עם Windows Vista ומעלה. זה שוחרר לציבור בדצמבר 2012 למטרות מחקר, ואני משתמש בו מאז. לא רק שזה עובד - אתה יכול לסנן את התנועה דרך העמודות - אלא שזה די מהיר.

פוסט הבלוג ייחוס תהליך בתעבורת רשת מ- המפתחים שלהם מסבירים את זה בפירוט.

ובכן, אם אתה מוכן לא להשתמש ב- Wireshark, אתה יכול לעשות זאת מהקופסה באמצעות צג הרשת של מיקרוסופט.

והחדשות הטובות עוד יותר הן כי ב Windows 7 (או Win2008 R2) ואילך, תוכל להפעיל / להפסיק לכידות משורת הפקודה מבלי להתקין שום דבר (אתה יכול אפילו לעשות זאת מרחוק).

זה פוסט בבלוג של MSDN מסביר את כולו ( תהליך פשוט.

הגרסה הקצרה:

1. פתח שורת פקודה מוגבהת והפעל: "netsh trace start persistent = yes capture = yes tracefile = c: \ temp \ nettrace-boot.etl" (וודא שיש לך ספריה \ temp או בחר מיקום אחר).
2. העתק את הבעיה או עשה אתחול מחדש אם אתה מתחקה אחר תרחיש אתחול איטי.
3. פתח שורת פקודה מוגבהת והפעל: "netsh trace stop" המעקב שלך יישמר ב- c: \ temp \ nettrace-boot.el או בכל מקום אי פעם שמרת את זה. אתה יכול להציג את המעקב במכונה אחרת באמצעות netmon.

הצעה חלופית ל- Wireshark החל משנת 2018, הפיתרון הנוכחי שפותח על ידי מיקרוסופט שהחליף את צג הרשת של מיקרוסופט הוא Microsoft Message Analyzer.

הגרסה האחרונה של גרסה 1.4 נכון להודעה זו פורסמה 28 באוקטובר 2016 , ו בלוג TechNet Analyzer TechNet השתתק ברדיו באופן מסתורי החל מה ~ ספטמבר 2016 לאחר הרגיל פרסומים לפני כן.

ב- Mac

  sudo unbuffer tshark -lni utun1 2> / dev / null | unbuffer -p grep TCP | tee / dev / tty | unbuffer -p awk -v ip = ʻifconfig utun1 | grep inet | awk '{print $ 2}' '' if if ($ 3 == ip) {print $ 8} else {print $ 10}} '| unbuffer -p grep -owE "[0-9] {1,5}" | xargs -I {} sh -c 'G = $ (הד {} | tr -d "\ r"); sudo lsof -i TCP -OPn -o | grep $ G ' 

שנה lsof -i TCP -OPn -o עם netstat -aptun עבור לינוקס

חבילות שרירותיות אינן קשורות בדרך כלל לתהליך. עבור שקעי TCP מבוססים, ניתן לחפש מידע זה בזמן אמת, אך אין דרך להביע מסנן לכידה כדי להגביל את הסינון לתהליך יחיד.

חלק מהאפשרויות הן:

• אם אתה יודע שיישום יוצר קשר עם כתובות IP מסוימות או יציאות, תוכל לציין מסנן לכידה כגון udp port 53 או host example.com קוד>.
• הפעל תוכנית במכונה וירטואלית (VM) ותפוס תעבורה מתוך ה- VM, או מהגשר המחובר לחלק החיצוני של ה- VM.
• ב- Linux, צור מרחב שמות רשת מבודד והשתמש בזוג אתרנט וירטואלי (veth) כדי לחבר את מרחב שמות הרשת החדש עם מרחב שמות הרשת הראשי. צלם משני קצות ממשק ה- veth והתחל את התהליך שלך בתוך מרחב שמות הרשת.

לגישה האחרונה כתבתי כמה סקריפטים כדי להפוך אותו לאוטומטי, ניתן למצוא אותו ב https : //github.com/Lekensteyn/netns. זה תוכנן בדיוק למטרה זו, ליצור לכידת רשת מתהליך יחיד (וילדיו) מבלי לדלוף תנועה אחרת.

גישות שונות אחרות כגון שימוש ב- eBPF ומפיצים מותאמים אישית להוספת מידע על התהליך, כמו גם כגישות פוטנציאליות עבור Windows ו- MacOS ניתן למצוא בגליונות אלה במעקב אחר בעיות Wireshark:

• באג 16194 - אפשר לנו לסנן תנועה באמצעות שליחת או קבלת תהליך
• באג 1184 - * כריש צריך לתמוך בשייכות מנות TCP ו- UDP לתהליכים