[Shult]

Требуется отследить трафик передаваемый браузером. Т.к. он открывает много локальных портов и использует http и https грамотно отфильтровать трафик опеределенного процесса не получается. Кто знает как это сделать через Wireshark?

[s.lobanov]

Если linux, то можно установить DSCP для конкретного процесса с помощью iptables, а дальше выловить все пакетики с этим dscp с помощью tcpdump/wireshark

[Shult]

Если linux, то можно установить DSCP для конкретного процесса с помощью iptables, а дальше выловить все пакетики с этим dscp с помощью tcpdump/wireshark

под виндой, к сожалению..

[terrible]

аутпостом можно попробовать, он имеет возможность блокировать сетевую активность процессов.

[Shult]

да попробовать можно и касперским, в 2009 версии был встроенный анализатор трафика. Просто меня немного вводит в недоумение,при все могучести Wireshark у него нет возможности дампить трафик отдельных сетевых приложений.

Изменено 16 мая, 2011 пользователем Shult

[photon]

Для http и https достаточно применить фильтр tcp.port == 80 || tcp.port == 443. Для отслеживания номеров портов, открываемых процессом, можно использовать программу tcpview. Вполне естественно, что Wireshark не дампит трафик отдельных приложений, т.к. он использует библиотеку libpcap, которая сидит на уровне сетевого интерфейса. В самих пакетах никаких id процессов нет, поэтому фильтрация невозможна. Теоретически, дампер трафика от конкретного процесса сделать можно, если он будет работать на уровне сокетов. Но тогда он будет не кроссплатформенным, как например SOCKS-проксификатор FreeCap.

Изменено 16 мая, 2011 пользователем photon

[s.lobanov]

А что если в браузере прописать http/socks прокси и снять трафик на выходе этой прокси? Или к браузеру прикручен какой-нибудь извращенческий плагин, который генерит трафик в обход прокси?

 

Кстати, в линуксе под вайнов в интернет-эксплорере(6/7) работает ваша штуковина, которую надо отсниферить?

[Shult]

photon

спасибо за совет. Кстати, по поводу отслеживания пакетов приложения на NDIS уровне это не слишком сложно делается. Когда разбираются NDIS фреймы из них вытаскивается информация IP header. Имея в драйвере подсистему которая в реальном времени обновляет структуру процесс-порт можно сопоставить какому приложению принадлежит пакет. Так делается во многих фаерволах.

s.lobanov

хорошая идея. Попробую так сделать. Вообще вся проблема в том, что некорректно работает система интернет отчетности контур екстерн. На хроме при запуске блокируется верхняя панель. При запуске в интернет эксплорере меню отображается, не работают некоторые функции. При запуске устанавливаются адовые плагины, чей функционал неясен :) Вот и хотелось отснифать трафик и разобраться в чем проблема.

[zurz]

если браузер - то можно попробовать завернуть на некеширующую проксю.

завести второй айпишник, повесить на него проксю, снифать по ип прокси