Jump to content
Калькуляторы

Wireshark. Фильтрация по процессу Отслеживание передачи данных процессом

Требуется отследить трафик передаваемый браузером. Т.к. он открывает много локальных портов и использует http и https грамотно отфильтровать трафик опеределенного процесса не получается. Кто знает как это сделать через Wireshark?

Share this post


Link to post
Share on other sites

Если linux, то можно установить DSCP для конкретного процесса с помощью iptables, а дальше выловить все пакетики с этим dscp с помощью tcpdump/wireshark

Share this post


Link to post
Share on other sites

Если linux, то можно установить DSCP для конкретного процесса с помощью iptables, а дальше выловить все пакетики с этим dscp с помощью tcpdump/wireshark

под виндой, к сожалению..

Share this post


Link to post
Share on other sites

аутпостом можно попробовать, он имеет возможность блокировать сетевую активность процессов.

Share this post


Link to post
Share on other sites

да попробовать можно и касперским, в 2009 версии был встроенный анализатор трафика. Просто меня немного вводит в недоумение,при все могучести Wireshark у него нет возможности дампить трафик отдельных сетевых приложений.

Edited by Shult

Share this post


Link to post
Share on other sites

Для http и https достаточно применить фильтр tcp.port == 80 || tcp.port == 443. Для отслеживания номеров портов, открываемых процессом, можно использовать программу tcpview. Вполне естественно, что Wireshark не дампит трафик отдельных приложений, т.к. он использует библиотеку libpcap, которая сидит на уровне сетевого интерфейса. В самих пакетах никаких id процессов нет, поэтому фильтрация невозможна. Теоретически, дампер трафика от конкретного процесса сделать можно, если он будет работать на уровне сокетов. Но тогда он будет не кроссплатформенным, как например SOCKS-проксификатор FreeCap.

Edited by photon

Share this post


Link to post
Share on other sites

А что если в браузере прописать http/socks прокси и снять трафик на выходе этой прокси? Или к браузеру прикручен какой-нибудь извращенческий плагин, который генерит трафик в обход прокси?

 

Кстати, в линуксе под вайнов в интернет-эксплорере(6/7) работает ваша штуковина, которую надо отсниферить?

Share this post


Link to post
Share on other sites

photon

спасибо за совет. Кстати, по поводу отслеживания пакетов приложения на NDIS уровне это не слишком сложно делается. Когда разбираются NDIS фреймы из них вытаскивается информация IP header. Имея в драйвере подсистему которая в реальном времени обновляет структуру процесс-порт можно сопоставить какому приложению принадлежит пакет. Так делается во многих фаерволах.

s.lobanov

хорошая идея. Попробую так сделать. Вообще вся проблема в том, что некорректно работает система интернет отчетности контур екстерн. На хроме при запуске блокируется верхняя панель. При запуске в интернет эксплорере меню отображается, не работают некоторые функции. При запуске устанавливаются адовые плагины, чей функционал неясен :) Вот и хотелось отснифать трафик и разобраться в чем проблема.

Share this post


Link to post
Share on other sites

если браузер - то можно попробовать завернуть на некеширующую проксю.

завести второй айпишник, повесить на него проксю, снифать по ип прокси

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this