Я хотів би вивчити мережевий трафік, який обробляється одним процесом, але прості захоплення мережі не будуть працювати, оскільки я маю справу з такою напруженою системою (багато іншого трафіку відбувається одночасно). Чи є спосіб виділити tcpdumpабо wiresharkзахопити мережевий трафік одного конкретного процесу? (Використання netstatнедостатньо.)
Відповіді:
Дійсно, є спосіб, використовуючи фільтри Wireshark . Але ви не можете фільтрувати безпосередньо за назвою процесу чи PID (оскільки вони не є мережевими величинами).
Спершу слід розібратися в протоколах та портах, використовуваних вашим процесом (команда netstat у попередньому коментарі працює добре).
Потім використовуйте Wireshark для фільтрування вхідного (або вихідного) порту за допомогою того, який ви тільки що отримали. Це повинно ізолювати вхідний та вихідний трафік вашого процесу.
netstat; Мені вдасться лише спіймати довговічні зв’язки. :(
Для запуску та моніторингу нового процесу:
strace -f -e trace=network -s 10000 PROCESS ARGUMENTS
Щоб контролювати існуючий процес із відомим PID:
strace -p $PID -f -e trace=network -s 10000
-f призначено для "слідування за новими процесами"-e визначає фільтр-s встановлює обмеження рядків більше 32-p приймає ідентифікатор процесу, до якого потрібно приєднатисяЯ знаю, що ця тема трохи стара, але я думаю, що це може допомогти деяким з вас:
Якщо ваше ядро дозволяє це, захоплення мережевого трафіку одного процесу дуже легко здійснити, запустивши зазначений процес в ізольованому просторі мережевих імен та використовуючи дротик (або інші стандартні інструменти для мереж) у зазначеному просторі імен.
Установка може здатися трохи складною, але як тільки ви зрозумієте це та ознайомитеся з ним, це настільки полегшить вашу роботу.
Як це зробити:
створіть простір імен тестової мережі:
ip netns add test
створити пару віртуальних мережевих інтерфейсів (veth-a та veth-b):
ip link add veth-a type veth peer name veth-b
змінити активний простір імен veth-інтерфейсу:
ip link set veth-a netns test
налаштування IP-адрес віртуальних інтерфейсів:
ip netns exec test ifconfig veth-a up 192.168.163.1 netmask 255.255.255.0
ifconfig veth-b up 192.168.163.254 netmask 255.255.255.0
налаштувати маршрутизацію в тестовому просторі імен:
ip netns exec test route add default gw 192.168.163.254 dev veth-a
активуйте ip_forward та встановіть правило NAT для переадресації трафіку, що надходить із створеного вами простору імен (потрібно налаштувати мережевий інтерфейс та ip-адресу SNAT):
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.163.0/24 -o <your internet interface, e.g. eth0> -j SNAT --to-source <your ip address>
(Ви також можете використовувати правило MASQUERADE, якщо вам зручніше)
нарешті, ви можете запустити процес, який ви хочете проаналізувати, у новому просторі імен, і також провідний шлях:
ip netns exec test thebinarytotest
ip netns exec test wireshark
Вам доведеться контролювати veth-інтерфейс.
socat .
--to-sourceаргументу iptables? Це IP-адреса інтерфейсу, який ви передаєте -oопції, IP-адреса, яку ви складаєте, або ??? Я спробував маскарадну версію, яка не потрібна --to-source, як описано тут , і це спрацювало!
netstat -taucp | grep <pid or process name>
Це покаже з'єднання, які здійснює додаток, включаючи використовуваний порт.
Просто ідея: чи можна прив’язати вашу програму до іншої IP-адреси? Якщо це так, ви можете використовувати звичайних підозрюваних ( tcpdump тощо)
Інструменти для додатків, які не можуть прив’язати до іншої IP-адреси:
http://freshmeat.net/projects/fixsrcip
fixsrcipє інструментом прив'язки вихідних TCP-розробок і UDP-клієнтських розеток ( IPv4 ) до конкретних вихідних IP-адрес на хостах, що розміщуються в багатьох домашніх мережах
http://freshmeat.net/projects/force_bind
force_bindдозволяє примусово прив’язувати певний IP та / або порт. Він працює як з IPv4, так і з IPv6 .
Я підійшов до подібного питання, і мені вдалося розібратися на основі цієї відповіді за допомогою ієрорхії , використовуючи NFLOG, як описано тут :
# iptables -A OUTPUT -m owner --uid-owner 1000 -j CONNMARK --set-mark 1
# iptables -A INPUT -m connmark --mark 1 -j NFLOG --nflog-group 30
# iptables -A OUTPUT -m connmark --mark 1 -j NFLOG --nflog-group 30
# dumpcap -i nflog:30 -w uid-1000.pcap
Тоді ви можете створити запуск відповідного процесу з облікового запису користувача, який нічого іншого не робить - і вуаля, ви просто виділили і захопили трафік з одного процесу.
Просто хотів опублікувати ще раз, якщо це комусь допоможе.
Я написав заявку на С, яка робить те, що описано у великій відповіді вище від felahdab!
Дивіться тут: nsntrace github repo
Це брудний злом, але я б запропонував або переадресацію, або ціль журналу з iptables для даного UID. наприклад:
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner $USER -m tcp -j LOG
iptables -t nat -A OUTPUT -p udp -m owner --uid-owner $USER -m udp -j LOG
Можливо, варто також переглянути щось на зразок '--log-tcp-послідовність', '--log-tcp-options', '--log-ip-options', '--log-uid' для цієї цілі журналу . Хоча я підозрюю, що це лише допоможе вам опублікувати обробку pcap, що включає багато інших даних.
Ціль NFLOG може бути корисною, якщо ви хочете позначити пакети, а потім певні теговані пакети будуть надіслані через мережну розетку в обраний вами процес. Цікаво, чи це було б корисно для взломання чого-небудь за допомогою wireshark та вашої конкретної програми, що працює як конкретний користувач?
Ви можете спробувати tracedump - http://mutrics.iitis.pl/tracedump
Це робить саме те, що ви хочете, ви можете дати йому ідентифікатор процесу або програму для запуску.
Спробуйте запустити процес, який вас цікавить, під напругою :
strace ping www.askubuntu.com
Це дасть вам дуже детальну інформацію про те, що ваш процес робить. Оскільки процес може відкрити будь-які порти, які він хоче, в будь-якому місці, використовуючи попередньо визначений фільтр, ви можете щось пропустити.
Іншим підходом було б використовувати в мережі обмежену віртуальну машину або тестову машину і розмістити свій процес на цьому ізольовано. Тоді ви можете просто використовувати Wireshark, щоб виловити все з цієї машини. Ви будете майже впевнені, що захований трафік буде релевантним.
На основі відповіді через ioerror, я підозрюю, що ви можете використовувати iptables --uid-ownerмаркер для трафіку, а потім ви можете попросити проводку, щоб зафіксувати лише трафік із цим маркером. Можливо, ви зможете використовувати DSCP (маркер диференціальних послуг), id потоку або маркер qos.
Або дійсно ви могли використовувати це, щоб відправити ці пакети з іншого інтерфейсу, а потім захопити лише на цьому інтерфейсі.
помилка wireshark # 1184 - це ця функція. Вона ще не реалізована.
Скопійовано від користувача cmanynard на ask.wireshark.org
можливо, iptables та ulog можуть працювати? Не те, щоб у мене був точний рецепт, але я думаю, що iptables можуть відповідати процесам, після того, як ви зможете скористатися ulog.
iptables -m owner --pid-owner $PIDвилучено в Linux 2.6.14: ftp.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.14
Я думаю, ви можете створити скрипт оболонки, щоб провести цикл через виконання netstat та ввійти в текстовий файл. Щось на кшталт (дуже грубі кроки):
echo "press q to quit"
while [ <q is not pressed>]
do
`netstat -taucp | grep <pid or process name> 1>>logfile.txt`
done
Я не програміст, тому не можу вдосконалити це. Але хтось тут може почати з того місця, де я зупинився, і створити робочий сценарій для вас.
netstatі прості мережеві фільтри захоплення на зайнятій машині.