Фильтр по процессу/PID в Wireshark

есть ли способ фильтровать / следовать за TCP/SSL поток на основе определенного идентификатора процесса с помощью Wireshark?

844   10  

10 ответов:

Я не вижу как. PID не делает это на проводе (вообще говоря), плюс Wireshark позволяет вам смотреть на то, что находится на проводе - потенциально все машины, которые общаются по сети. Во всяком случае, идентификаторы процессов не уникальны на разных машинах.

45  
2009-08-27 11:39:18

на всякий случай, если вы ищете альтернативный способ, и среда, которую вы используете, - это Windows, Microsoft Сетевой Монитор 3.3-это хороший выбор. Он имеет столбец имя процесса. Вы можете легко добавить его в фильтр с помощью контекстного меню и применить фильтр.. Как обычно графический интерфейс очень интуитивно понятен...

79  
2014-05-17 06:23:56

вы можете сопоставить номера портов от wireshark до номеров портов, скажем, netstat который скажет вам PID процесса прослушивания на этом порту.

13  
2012-09-27 15:49:06

используйте анализатор сообщений Microsoft v1. 4

перейдите к ProcessId из средства выбора полей.

Etw
-> EtwProviderMsg
--> EventRecord
---> Header
----> ProcessId

щелкните правой кнопкой мыши и добавить столбец

9  
2016-08-12 02:22:34

в Windows есть экспериментальная сборка, которая делает это, как описано в списке рассылки,фильтр по имени локального процесса

3  
2014-05-17 06:25:15

Это важная вещь, чтобы иметь возможность сделать для мониторинга, где некоторые процессы пытаются подключиться, и кажется, что нет никакого удобного способа сделать это на Linux. Однако возможны несколько обходных путей, и поэтому я считаю, что стоит упомянуть о них.

есть программа под названием нонет что позволяет запускать программу без доступа в интернет (у меня есть большинство программ запуска на моей системе, настроенной с ним). Он использует setguid для запуска процесса в группе nonet и устанавливает значение iptables правило для отказа от всех подключений из этой группы.

обновление: теперь я использую еще более простую систему, вы можете легко иметь читаемую конфигурацию iptables с ferm и просто использовать программу sg для запуска программы с определенной группой. Iptables также позволяет перенаправлять трафик, поэтому вы даже можете перенаправить его на отдельный интерфейс или локальный прокси-сервер на порту, который позволяет фильтровать в wireshark или регистрировать пакеты непосредственно из iptables, если вы этого не сделаете хотите отключить весь интернет во время проверки трафика.

это не очень сложно адаптировать его для запуска программы в группе и сократить весь остальной трафик с iptables на время выполнения, а затем вы можете захватить трафик только из этого процесса.

Если я когда-нибудь приду к его написанию, я опубликую ссылку здесь.

С другой стороны, вы всегда можете запустить процесс в виртуальной машине и нюхать правильный интерфейс для изоляции соединений делает, но это было бы довольно плохое решение...

3  
2015-12-22 17:41:29

в некоторых случаях вы не можете фильтровать по ID процесса. Например, в моем случае мне нужно было нюхать трафик из одного процесса. Но я нашел в его конфигурации целевой IP-адрес машины, добавил фильтр ip.dst==someip и вуаля. Он не будет работать в любом случае, но для некоторых это полезно.

0  
2016-04-08 12:22:18

получить номер порта с помощью netstat:

netstat -b

а затем использовать фильтр Wireshark:

tcp.port == portnumber
0  
2016-09-13 10:50:25

если вы хотите следить за приложением, которое все еще должно быть запущено, то это, безусловно, возможно:

  1. установить докер (см. https://docs.docker.com/engine/installation/linux/docker-ce/ubuntu/)
  2. откройте терминал и запустите крошечный контейнер:docker run -t -i ubuntu /bin/bash (измените "ubuntu" на ваш любимый дистрибутив, это не должно быть так же, как в вашей реальной системе)
  3. установите приложение в контейнер, используя тот же способ, что и вы установите его в реальной системе.
  4. запустите wireshark в вашей реальной системе, перейдите в capture > options . В открывшемся окне вы увидите все ваши интерфейсы. Вместо того, чтобы выбрать any,wlan0,eth0, ... выберите новый виртуальный интерфейс .
  5. начать запись
  6. запустите приложение в контейнере

у вас могут возникнуть некоторые сомнения относительно запуска вашего программного обеспечения в контейнере, поэтому вот ответы на следующие вопросы вопросы, которые вы, вероятно, хотите спросить:

  • будет ли мое приложение работать внутри контейнера ? почти наверняка да, но вам может понадобиться немного узнать о докере, чтобы заставить его работать
  • не будет ли мое приложение работать медленно ? ничтожна. Если ваша программа-это что-то, что запускает тяжелые вычисления в течение недели, то теперь это может занять неделю и 3 секунды
  • что делать, если мое программное обеспечение или что-то еще ломается в контейнере ? это хорошая вещь о контейнерах. Все, что работает внутри, может только сломать текущий контейнер и не может повредить остальную часть системы.
0  
2018-01-22 19:14:25

вы можете проверить номера портов с помощью этих примеров команд на wireshark: -

tcp.порт==80

tcp.порт==14220

-13  
2013-05-04 07:56:33

Comments

    Ничего не найдено.
Click here to cancel reply.