Shult Posted May 16, 2011 Posted May 16, 2011 Требуется отследить трафик передаваемый браузером. Т.к. он открывает много локальных портов и использует http и https грамотно отфильтровать трафик опеределенного процесса не получается. Кто знает как это сделать через Wireshark? Вставить ник Quote
s.lobanov Posted May 16, 2011 Posted May 16, 2011 Если linux, то можно установить DSCP для конкретного процесса с помощью iptables, а дальше выловить все пакетики с этим dscp с помощью tcpdump/wireshark Вставить ник Quote
Shult Posted May 16, 2011 Author Posted May 16, 2011 Если linux, то можно установить DSCP для конкретного процесса с помощью iptables, а дальше выловить все пакетики с этим dscp с помощью tcpdump/wireshark под виндой, к сожалению.. Вставить ник Quote
terrible Posted May 16, 2011 Posted May 16, 2011 аутпостом можно попробовать, он имеет возможность блокировать сетевую активность процессов. Вставить ник Quote
Shult Posted May 16, 2011 Author Posted May 16, 2011 (edited) да попробовать можно и касперским, в 2009 версии был встроенный анализатор трафика. Просто меня немного вводит в недоумение,при все могучести Wireshark у него нет возможности дампить трафик отдельных сетевых приложений. Edited May 16, 2011 by Shult Вставить ник Quote
photon Posted May 16, 2011 Posted May 16, 2011 (edited) Для http и https достаточно применить фильтр tcp.port == 80 || tcp.port == 443. Для отслеживания номеров портов, открываемых процессом, можно использовать программу tcpview. Вполне естественно, что Wireshark не дампит трафик отдельных приложений, т.к. он использует библиотеку libpcap, которая сидит на уровне сетевого интерфейса. В самих пакетах никаких id процессов нет, поэтому фильтрация невозможна. Теоретически, дампер трафика от конкретного процесса сделать можно, если он будет работать на уровне сокетов. Но тогда он будет не кроссплатформенным, как например SOCKS-проксификатор FreeCap. Edited May 16, 2011 by photon Вставить ник Quote
s.lobanov Posted May 16, 2011 Posted May 16, 2011 А что если в браузере прописать http/socks прокси и снять трафик на выходе этой прокси? Или к браузеру прикручен какой-нибудь извращенческий плагин, который генерит трафик в обход прокси? Кстати, в линуксе под вайнов в интернет-эксплорере(6/7) работает ваша штуковина, которую надо отсниферить? Вставить ник Quote
Shult Posted May 16, 2011 Author Posted May 16, 2011 photon спасибо за совет. Кстати, по поводу отслеживания пакетов приложения на NDIS уровне это не слишком сложно делается. Когда разбираются NDIS фреймы из них вытаскивается информация IP header. Имея в драйвере подсистему которая в реальном времени обновляет структуру процесс-порт можно сопоставить какому приложению принадлежит пакет. Так делается во многих фаерволах. s.lobanov хорошая идея. Попробую так сделать. Вообще вся проблема в том, что некорректно работает система интернет отчетности контур екстерн. На хроме при запуске блокируется верхняя панель. При запуске в интернет эксплорере меню отображается, не работают некоторые функции. При запуске устанавливаются адовые плагины, чей функционал неясен :) Вот и хотелось отснифать трафик и разобраться в чем проблема. Вставить ник Quote
zurz Posted May 16, 2011 Posted May 16, 2011 если браузер - то можно попробовать завернуть на некеширующую проксю. завести второй айпишник, повесить на него проксю, снифать по ип прокси Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.