האם ניתן לרחרח תעבורת TCP לתהליך ספציפי באמצעות Wireshark, אפילו דרך תוסף לסינון תעבורת TCP על סמך מזהה התהליך?
אני עובד על Windows 7, אך ברצוני שמע על פתרון גם עבור לינוקס.
האם ניתן לרחרח תעבורת TCP לתהליך ספציפי באמצעות Wireshark, אפילו דרך תוסף לסינון תעבורת TCP על סמך מזהה התהליך?
אני עובד על Windows 7, אך ברצוני שמע על פתרון גם עבור לינוקס.
ייחוס תהליכים בתעבורת רשת (PAINT) / Wireshark מ- DigitalOperatives עשוי להיות מה שאתה מחפש. הוא מבוסס על Wireshark 1.6.5, והוא עובד עם Windows Vista ומעלה. זה שוחרר לציבור בדצמבר 2012 למטרות מחקר, ואני משתמש בו מאז. לא רק שזה עובד - אתה יכול לסנן את התנועה דרך העמודות - אלא שזה די מהיר.
פוסט הבלוג ייחוס תהליך בתעבורת רשת מ- המפתחים שלהם מסבירים את זה בפירוט.
ובכן, אם אתה מוכן לא להשתמש ב- Wireshark, אתה יכול לעשות זאת מהקופסה באמצעות צג הרשת של מיקרוסופט.
והחדשות הטובות עוד יותר הן כי ב Windows 7 (או Win2008 R2) ואילך, תוכל להפעיל / להפסיק לכידות משורת הפקודה מבלי להתקין שום דבר (אתה יכול אפילו לעשות זאת מרחוק).
זה פוסט בבלוג של MSDN מסביר את כולו ( תהליך פשוט.
הגרסה הקצרה:
- פתח שורת פקודה מוגבהת והפעל: "netsh trace start persistent = yes capture = yes tracefile = c: \ temp \ nettrace-boot.etl" (וודא שיש לך ספריה \ temp או בחר מיקום אחר).
- העתק את הבעיה או עשה אתחול מחדש אם אתה מתחקה אחר תרחיש אתחול איטי.
- פתח שורת פקודה מוגבהת והפעל: "netsh trace stop" המעקב שלך יישמר ב- c: \ temp \ nettrace-boot.el או בכל מקום אי פעם שמרת את זה. אתה יכול להציג את המעקב במכונה אחרת באמצעות netmon.
הצעה חלופית ל- Wireshark החל משנת 2018, הפיתרון הנוכחי שפותח על ידי מיקרוסופט שהחליף את צג הרשת של מיקרוסופט הוא Microsoft Message Analyzer.
הגרסה האחרונה של גרסה 1.4 נכון להודעה זו פורסמה 28 באוקטובר 2016 , ו בלוג TechNet Analyzer TechNet השתתק ברדיו באופן מסתורי החל מה ~ ספטמבר 2016 לאחר הרגיל פרסומים לפני כן.
ב- Mac
sudo unbuffer tshark -lni utun1 2> / dev / null | unbuffer -p grep TCP | tee / dev / tty | unbuffer -p awk -v ip = ʻifconfig utun1 | grep inet | awk '{print $ 2}' '' if if ($ 3 == ip) {print $ 8} else {print $ 10}} '| unbuffer -p grep -owE "[0-9] {1,5}" | xargs -I {} sh -c 'G = $ (הד {} | tr -d "\ r"); sudo lsof -i TCP -OPn -o | grep $ G '
שנה lsof -i TCP -OPn -o
עם netstat -aptun
עבור לינוקס
חבילות שרירותיות אינן קשורות בדרך כלל לתהליך. עבור שקעי TCP מבוססים, ניתן לחפש מידע זה בזמן אמת, אך אין דרך להביע מסנן לכידה כדי להגביל את הסינון לתהליך יחיד.
חלק מהאפשרויות הן:
udp port 53
או host example.com קוד>.
לגישה האחרונה כתבתי כמה סקריפטים כדי להפוך אותו לאוטומטי, ניתן למצוא אותו ב https : //github.com/Lekensteyn/netns. זה תוכנן בדיוק למטרה זו, ליצור לכידת רשת מתהליך יחיד (וילדיו) מבלי לדלוף תנועה אחרת.
גישות שונות אחרות כגון שימוש ב- eBPF ומפיצים מותאמים אישית להוספת מידע על התהליך, כמו גם כגישות פוטנציאליות עבור Windows ו- MacOS ניתן למצוא בגליונות אלה במעקב אחר בעיות Wireshark: