como encontrar URLs acessados por um processo

Você pode usar o tcpflow para fazer isso. Do site:

tcpflow is a program that captures data transmitted as part of TCP connections (flows), and stores the data in a way that is convenient for protocol analysis or debugging. A program like 'tcpdump' shows a summary of packets seen on the wire, but usually doesn't store the data that's actually being transmitted. In contrast, tcpflow reconstructs the actual data streams and stores each flow in a separate file for later analysis.

Ele fará o dump dos logs para o diretório de trabalho atual no formato [ip]. [port] - [ip]. [port].

# mkdir http_logs
# cd http_logs
# tcpflow dst port 80

Este exemplo registra todos os pacotes TCP na porta 80 e os salva no diretório atual para facilitar a depuração. Você também pode filtrar usando filtros pcap .

Você também pode achar útil a opção -a , que permite o pós-processamento. Por exemplo, ele coloca os cabeçalhos e corpos HTTP em arquivos separados.

Se é um programa de código aberto, a resposta óbvia é para olhar para o código-fonte ... ; -) No entanto, , se você tiver um código-fonte fechado programa cujo uso de rede você deseja monitorar, o melhor a fazer é conectar a máquina que contém o aplicativo suspeito e uma máquina que contém um sniffer de rede como Wireshark em um hub .

Por que uma máquina externa? Já houve aplicativos no passado que desativariam certos "recursos ocultos" se detectassem um sniffer em execução na mesma máquina.

P.S. Como os hubs estão se tornando cada vez mais arqueologia industrial, você também pode usar uma porta estendida em um switch (profissional).

Em switches de nível de consumidor, o alcance normalmente não está disponível, infelizmente.