Shult Опубликовано 16 мая, 2011 · Жалоба Требуется отследить трафик передаваемый браузером. Т.к. он открывает много локальных портов и использует http и https грамотно отфильтровать трафик опеределенного процесса не получается. Кто знает как это сделать через Wireshark? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 мая, 2011 · Жалоба Если linux, то можно установить DSCP для конкретного процесса с помощью iptables, а дальше выловить все пакетики с этим dscp с помощью tcpdump/wireshark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shult Опубликовано 16 мая, 2011 · Жалоба Если linux, то можно установить DSCP для конкретного процесса с помощью iptables, а дальше выловить все пакетики с этим dscp с помощью tcpdump/wireshark под виндой, к сожалению.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 16 мая, 2011 · Жалоба аутпостом можно попробовать, он имеет возможность блокировать сетевую активность процессов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shult Опубликовано 16 мая, 2011 (изменено) · Жалоба да попробовать можно и касперским, в 2009 версии был встроенный анализатор трафика. Просто меня немного вводит в недоумение,при все могучести Wireshark у него нет возможности дампить трафик отдельных сетевых приложений. Изменено 16 мая, 2011 пользователем Shult Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 16 мая, 2011 (изменено) · Жалоба Для http и https достаточно применить фильтр tcp.port == 80 || tcp.port == 443. Для отслеживания номеров портов, открываемых процессом, можно использовать программу tcpview. Вполне естественно, что Wireshark не дампит трафик отдельных приложений, т.к. он использует библиотеку libpcap, которая сидит на уровне сетевого интерфейса. В самих пакетах никаких id процессов нет, поэтому фильтрация невозможна. Теоретически, дампер трафика от конкретного процесса сделать можно, если он будет работать на уровне сокетов. Но тогда он будет не кроссплатформенным, как например SOCKS-проксификатор FreeCap. Изменено 16 мая, 2011 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 мая, 2011 · Жалоба А что если в браузере прописать http/socks прокси и снять трафик на выходе этой прокси? Или к браузеру прикручен какой-нибудь извращенческий плагин, который генерит трафик в обход прокси? Кстати, в линуксе под вайнов в интернет-эксплорере(6/7) работает ваша штуковина, которую надо отсниферить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shult Опубликовано 16 мая, 2011 · Жалоба photon спасибо за совет. Кстати, по поводу отслеживания пакетов приложения на NDIS уровне это не слишком сложно делается. Когда разбираются NDIS фреймы из них вытаскивается информация IP header. Имея в драйвере подсистему которая в реальном времени обновляет структуру процесс-порт можно сопоставить какому приложению принадлежит пакет. Так делается во многих фаерволах. s.lobanov хорошая идея. Попробую так сделать. Вообще вся проблема в том, что некорректно работает система интернет отчетности контур екстерн. На хроме при запуске блокируется верхняя панель. При запуске в интернет эксплорере меню отображается, не работают некоторые функции. При запуске устанавливаются адовые плагины, чей функционал неясен :) Вот и хотелось отснифать трафик и разобраться в чем проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 16 мая, 2011 · Жалоба если браузер - то можно попробовать завернуть на некеширующую проксю. завести второй айпишник, повесить на него проксю, снифать по ип прокси Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...