Wireshark를 사용하여 특정 프로세스 ID를 기반으로 TCP / SSL 스트림 을 필터링 / 팔로우하는 방법이 있습니까?
Wireshark를 사용하여 특정 프로세스 ID를 기반으로 TCP / SSL 스트림 을 필터링 / 팔로우하는 방법이 있습니까?
답변:
방법을 모르겠습니다. PID는 와이어에 연결되지 않으며 (일반적으로 말하면) Wireshark를 사용하면 와이어에있는 내용을 볼 수 있습니다. 잠재적으로 와이어를 통해 통신하는 모든 기계입니다. 어쨌든 프로세스 ID는 다른 컴퓨터에서 고유하지 않습니다.
다른 방법을 찾고 있고 사용하는 환경이 Windows 인 경우 Microsoft의 Network Monitor 3.3이 좋은 선택입니다. 프로세스 이름 열이 있습니다. 상황에 맞는 메뉴를 사용하여 쉽게 필터에 추가하고 필터를 적용 할 수 있습니다. 평소처럼 GUI는 매우 직관적입니다 ...
Windows에는 메일 링리스트, 로컬 프로세스 이름으로 필터링에 설명 된대로이를 수행하는 실험적인 빌드가 있습니다.
이것은 특정 프로세스가 연결을 시도하는 위치를 모니터링하기 위해 수행 할 수있는 중요한 작업이며 Linux에서이 작업을 수행하는 편리한 방법이없는 것 같습니다. 그러나 몇 가지 해결 방법이 가능하므로 언급 할 가치가 있다고 생각합니다.
인터넷 액세스없이 프로그램을 실행할 수있는 nonet 이라는 프로그램이 있습니다 (내 시스템에는 대부분의 프로그램 실행기가 설치되어 있습니다). setguid를 사용하여 그룹 nonet에서 프로세스를 실행하고 iptables를 설정합니다. 하고이 그룹의 모든 연결을 거부 규칙을 .
업데이트 : 이제 더 간단한 시스템을 사용하고 있습니다. ferm을 사용하여 쉽게 읽을 수있는 iptables 구성을 가질 수 있으며 프로그램 만 사용하면됩니다. sg
을 특정 그룹과 함께 을 실행할 수 있습니다. Iptables는 또한 트래픽을 다시 라우팅 할 수 있도록하여 트래픽을 별도의 인터페이스 또는 포트의 로컬 프록시로 라우팅 할 수 있으며,이를 통해 wireshark에서 필터링하거나 모든 인터넷을 비활성화하지 않으려는 경우 iptables에서 직접 패킷을 기록 할 수 있습니다. 트래픽을 확인하고 있습니다.
그룹에서 프로그램을 실행하고 실행 수명 동안 iptables를 사용하여 다른 모든 트래픽을 차단하도록 수정하는 것은 그리 복잡하지 않습니다. 그러면이 프로세스에서만 트래픽을 캡처 할 수 있습니다.
이 글을 쓰러 오면 여기에 링크를 게시하겠습니다.
또 다른 참고로, 항상 가상 머신에서 프로세스를 실행하고 올바른 인터페이스를 스니핑하여 연결을 분리 할 수 있지만 이는 상당히 열등한 솔루션입니다.
아직 시작해야하는 응용 프로그램을 따르고 싶다면 확실히 가능합니다.
docker run -t -i ubuntu /bin/bash
( "ubuntu"를 좋아하는 배포판으로 변경합니다. 실제 시스템과 같을 필요는 없습니다.)any
, wlan0
, eth0
, ... 새 가상 인터페이스를 선택 docker0
하는 대신.컨테이너에서 소프트웨어를 실행하는 것에 대해 약간의 의심이있을 수 있으므로 다음은 질문하고 싶은 질문에 대한 답변입니다.
경우에 따라 프로세스 ID로 필터링 할 수 없습니다. 예를 들어, 제 경우에는 한 프로세스에서 트래픽을 스니핑해야했습니다. 하지만 구성 대상 컴퓨터 IP 주소에서 필터 ip.dst==someip
와 짜잔을 추가했습니다 . 어떤 경우에도 작동하지 않지만 일부에게는 유용합니다.
wireshark에서 다음 명령 예제를 사용하여 포트 번호를 확인할 수 있습니다.
tcp.port == 80
tcp.port == 14220