Farejando pacotes de binários específicos / apps / process id?

1

Existe uma maneira de associar pacotes a binários em execução? Eu estaria aberto a métodos tradicionais de farejamento ou até dtrace para esse assunto.

Eu tenho um problema específico em um sistema com tráfego muito alto. Farejar "todos" os pacotes e filtrá-los está se tornando um problema muito pesado e a eliminação da emissão de pacotes de todos, exceto do aplicativo ofensivo, não é possível neste cenário.

    
por ylluminate 12.07.2012 / 23:31

4 respostas

1

Recentemente, encontrei uma solução realmente boa para esse problema e queria compartilhar. Encontra-se no livro DTrace: link

Você vai querer extrair os exemplos daqui: link

Não estou executando nenhum OS X. Extraí os scripts para dtbook em meu ~/bin e executei o script apropriado da seguinte forma:

sudo ~/bin/dtbook/Chap6/soconnect_mac.d 

O qual fornecerá a você todos os processos com suas conexões. Eu costumo canalizar isso em grep e procurar por aplicativos especificamente agora.

    
por 20.02.2013 / 01:39
3

Você não menciona o sistema operacional que está executando no sistema, mas se estiver executando o Windows, poderá usar o Microsoft Network Monitor, que mostra a identificação do processo para cada "conversa", permitindo que você concentre sua análise. O tráfego "Filtrando" por ID do processo é tão simples quanto selecionar o processo no painel esquerdo e visualizá-lo no painel à direita.

    
por 12.07.2012 / 23:57
2

Não tenho certeza se isso é o que você precisa, mas o netstat pode ajudá-lo a associar o ID do processo à porta de rede. Em wireshark, você pode filtrar esse número de porta, apenas para capturar os pacotes de id de processo específicos.

    
por 12.07.2012 / 23:59
1

No Windows há uma versão experimental que faz isso, conforme descrito na lista de discussão: link

    
por 28.12.2012 / 13:01