Wireshark에서 프로세스 / PID로 필터링

117

Wireshark를 사용하여 특정 프로세스 ID를 기반으로 TCP / SSL 스트림 을 필터링 / 팔로우하는 방법이 있습니까?

wireshark

7

이 글을 쓰는 시점에서 Wireshark는 여전히이 기능을 지원하지 않습니다. 그러나 [bug 1184] [1]에서 진행 상황 (있는 경우)을 추적 할 수 있습니다. [1] : bugs.wireshark.org/bugzilla/show_bug.cgi?id=1184

— Christopher Maynard

58

방법을 모르겠습니다. PID는 와이어에 연결되지 않으며 (일반적으로 말하면) Wireshark를 사용하면 와이어에있는 내용을 볼 수 있습니다. 잠재적으로 와이어를 통해 통신하는 모든 기계입니다. 어쨌든 프로세스 ID는 다른 컴퓨터에서 고유하지 않습니다.

— 비네 사집
소스

7

내가 ..이를 닫기 전에 내가 하루를 기다릴 수 있도록 너무 생각했던 좋은 point..thats, 그냥이 .. 어떻게 관리가 밖으로 와이어 샤크 닌자가 넣다

— 라이언 페르난데스

30

Wireshark는 사용중인 포트를 알고 있고 OS는 포트를 사용하는 프로세스의 PID를 알고 있습니다. 코드 변경으로 Wireshark가 포트를 PID에 매핑 할 수 있어야합니다. Wireshark가 OS에서 포트에 대한 PID를 쿼리하기 직전에 OS가 포트를 다른 앱에 재 할당하는 경우와 같이 이것이 실패하는 경우가 있습니다. 따라서 이것은 바보 증명 및 결함 증명이 아니지만 사용자가 이러한 제한 사항을 알고 있다면 여전히 유용한 기능이 될 것입니다.

— Dojo

포트 열기 / 닫기를 수신하고 PID를 포트에 매핑하는 모듈을 wireshark에 추가하면됩니다. 이를 주 프로세스와 동기화하면 완벽한 포트-투-프로세스 매퍼가 있습니다. 그러나 질문 댓글에서 버그를 읽으면 모듈을 만드는 것이 간단하지 않습니다.

— Vesper

wireshark를 처음 다운로드했을 때 프로세스 트리가 표시되었고 모니터링 할 프로세스를 선택할 수있었습니다. 이 옵션이 사라 졌을 때 Dunno는 있지만 거기에있었습니다.

— Tomáš Zato-Monica 복원

90

다른 방법을 찾고 있고 사용하는 환경이 Windows 인 경우 Microsoft의 Network Monitor 3.3이 좋은 선택입니다. 프로세스 이름 열이 있습니다. 상황에 맞는 메뉴를 사용하여 쉽게 필터에 추가하고 필터를 적용 할 수 있습니다. 평소처럼 GUI는 매우 직관적입니다 ...

— 스리 지스 메논
소스

10

Microsoft Network Monitor 3.4는 microsoft.com/en-us/download/details.aspx?id=4865

— gt

39

기본적으로 Microsoft의 Wireshark 버전 (그리고 내가 이해하는 네트워크 모니터의 후속 버전) 인 Microsoft Message Analyzer 도 있지만 좀 더 잘 통합됩니다. 열 선택기의 'Etw'-> 'EtwProviderMsg'아래에 'PID'열이 있습니다. 잘 작동한다!

— Cameron

3

정확한 경로는 EtwProviderMsg-> EventRecord->

— Header-

방금 시도했는데 Microsoft Message Analyzer는 매우 지루한 소프트웨어입니다! 내 시스템을 거의 크롤링했습니다. 매우 직관적이지 않은 UI도 있습니다. 수집 된 데이터로 목록을 지우는 방법을 찾은 사람이 있습니까? 나는 그 쓰레기를 포기하고 제거했다. (추신. Wireshark 개발자가 PID / 프로세스 이름을 필터의 포트에 연결하는 기능을 추가하지 않았다는 점이 너무 안타깝습니다. 매우 쉽습니다. 이것은 시작하는 동안 프로세스에서 무슨 일이 일어나고 있는지 확인하는 데 중요 할 수 있습니다. 해결 방법 SysInternals에서 ProcMon을 사용하여 일반적인 아이디어를 얻을 수 있습니다.)

— c00000fd

1

최근에 Microsoft Message Analyzer를 발견했으며 매우 유용한 도구입니다! 내가 들어 본 적이없는 것이 어떻게 가능합니까? 그래서 과소 평가되었습니다. Wireshark보다 Windows와 훨씬 더 잘 통합되어 뛰어난 필터링 기능을 제공합니다. 매일 작업한지 3 개월 이내에 모든 회사 호스트에서이 기능으로 전환했습니다. 그 답변에 대한 그의 의견에 대해 @Cameron에게 큰 감사를드립니다! :-)

— Skipper

16

wireshark의 포트 번호를 netstat 의 포트 번호까지 일치시켜 해당 포트에서 수신하는 프로세스의 PID를 알려줍니다.

— tw39124
소스

12

물론,이 힘은하지 work..the 프로그램이 열리면서 로컬 및 원격 포트를 많이 닫습니다

— 라이언 페르난데스

11

Microsoft Message Analyzer v1.4 사용

필드 선택기에서 ProcessId로 이동합니다.

Etw
-> EtwProviderMsg
--> EventRecord
---> Header
----> ProcessId

마우스 오른쪽 버튼을 클릭하고 열로 추가

— 엔키
소스

1

이 방향을 알려 주셔서 감사합니다. 바로 제가 필요했던 것입니다. FWIW, "ProcMon"최상위 그룹은 동일한 ProcessId뿐만 아니라 프로세스 이름, ParentId 등과 같은 기타 정보를 포함하는 것 같습니다.

— Tobias J

3

Windows에는 메일 링리스트, 로컬 프로세스 이름으로 필터링에 설명 된대로이를 수행하는 실험적인 빌드가 있습니다.

— Patraulea
소스

이것은 Wireshark 내에서 "wireshark의 포트 번호를 netstat의 포트 번호까지 일치시켜 해당 포트에서 수신하는 프로세스의 PID를 알려줍니다."라고 말합니다. Tom Woolfrey의 의견에서 가져온 것이므로 (메시지 메모로) 해당 메커니즘의 제한 사항이 적용됩니다.

3

이것은 특정 프로세스가 연결을 시도하는 위치를 모니터링하기 위해 수행 할 수있는 중요한 작업이며 Linux에서이 작업을 수행하는 편리한 방법이없는 것 같습니다. 그러나 몇 가지 해결 방법이 가능하므로 언급 할 가치가 있다고 생각합니다.

인터넷 액세스없이 프로그램을 실행할 수있는 nonet 이라는 프로그램이 있습니다 (내 시스템에는 대부분의 프로그램 실행기가 설치되어 있습니다). setguid를 사용하여 그룹 nonet에서 프로세스를 실행하고 iptables를 설정합니다. 하고이 그룹의 모든 연결을 거부 규칙을 .

업데이트 : 이제 더 간단한 시스템을 사용하고 있습니다. ferm을 사용하여 쉽게 읽을 수있는 iptables 구성을 가질 수 있으며 프로그램 만 사용하면됩니다. sg 을 특정 그룹과 함께 을 실행할 수 있습니다. Iptables는 또한 트래픽을 다시 라우팅 할 수 있도록하여 트래픽을 별도의 인터페이스 또는 포트의 로컬 프록시로 라우팅 할 수 있으며,이를 통해 wireshark에서 필터링하거나 모든 인터넷을 비활성화하지 않으려는 경우 iptables에서 직접 패킷을 기록 할 수 있습니다. 트래픽을 확인하고 있습니다.

그룹에서 프로그램을 실행하고 실행 수명 동안 iptables를 사용하여 다른 모든 트래픽을 차단하도록 수정하는 것은 그리 복잡하지 않습니다. 그러면이 프로세스에서만 트래픽을 캡처 할 수 있습니다.

이 글을 쓰러 오면 여기에 링크를 게시하겠습니다.

또 다른 참고로, 항상 가상 머신에서 프로세스를 실행하고 올바른 인터페이스를 스니핑하여 연결을 분리 할 수 있지만 이는 상당히 열등한 솔루션입니다.

3

아직 시작해야하는 응용 프로그램을 따르고 싶다면 확실히 가능합니다.

Docker 설치 ( https://docs.docker.com/engine/installation/linux/docker-ce/ubuntu/ 참조 )
터미널을 열고 작은 컨테이너를 실행하십시오. docker run -t -i ubuntu /bin/bash ( "ubuntu"를 좋아하는 배포판으로 변경합니다. 실제 시스템과 같을 필요는 없습니다.)
실제 시스템에 설치하는 것과 동일한 방법으로 컨테이너에 애플리케이션을 설치합니다.
실제 시스템에서 wireshark를 시작하고 캡처> 옵션으로 이동합니다. 열리는 창에서 모든 인터페이스를 볼 수 있습니다. 대신 선택의 any, wlan0, eth0, ... 새 가상 인터페이스를 선택 docker0하는 대신.
캡처 시작
컨테이너에서 애플리케이션 시작

컨테이너에서 소프트웨어를 실행하는 것에 대해 약간의 의심이있을 수 있으므로 다음은 질문하고 싶은 질문에 대한 답변입니다.

내 응용 프로그램이 컨테이너 내에서 작동합니까? 거의 확실히 그렇습니다.하지만도 커가 작동하도록하려면 도커에 대해 조금 배워야 할 수도 있습니다.
내 응용 프로그램이 느리게 실행되지 않습니까? 무시할 수 있습니다. 프로그램이 1 주일 동안 과중한 계산을 실행하는 경우 이제 1 주일 3 초가 걸릴 수 있습니다.
내 소프트웨어 또는 다른 것이 컨테이너에서 파손되면 어떻게됩니까? 그것이 컨테이너의 좋은 점입니다. 내부에서 실행되는 모든 것이 현재 컨테이너를 깨뜨릴 수 있으며 나머지 시스템을 손상시킬 수 없습니다.

— 가로
소스

0

경우에 따라 프로세스 ID로 필터링 할 수 없습니다. 예를 들어, 제 경우에는 한 프로세스에서 트래픽을 스니핑해야했습니다. 하지만 구성 대상 컴퓨터 IP 주소에서 필터 ip.dst==someip와 짜잔을 추가했습니다 . 어떤 경우에도 작동하지 않지만 일부에게는 유용합니다.

— Alex Zhukovskiy
소스

0

다음을 사용하여 포트 번호를 가져옵니다 netstat.

netstat -b

그런 다음 Wireshark 필터를 사용하십시오.

tcp.port == portnumber

— 사힐 락 와니
소스

이것이 완벽한 방법인지는 모르겠습니다. 포트에서 수신 대기하는 TCP 서버가 있지만 커널의 TCP 처리를 차단하지 않은 경우 커널 또는 응용 프로그램 중 하나 또는 둘 다 포트에서 응답 할 수 있습니다.

— aeb0

0

strace이 상황에 사용하는 것이 더 적합합니다.

strace -f -e trace=network -s 10000 -p <PID>;

-f모든 분기 된 프로세스를 추적하고 -e trace=netwrok네트워크 시스템 호출 만 필터링하고 -s최대 10000 자까지 문자열 길이를 표시하는 옵션 도 있습니다 .

send, recv, read 작업과 같은 특정 호출 만 추적 할 수도 있습니다.

strace -f -e trace=send,recv,read -s 10000 -p <PID>;

— 샤 보티
소스

-16

wireshark에서 다음 명령 예제를 사용하여 포트 번호를 확인할 수 있습니다.

tcp.port == 80

tcp.port == 14220

— Rajeev Das
소스