LINUX.ORG.RU

Перехват трафика


0

0

Добрый вечер. Извиняюсь за туповатый вопрос, но может кто-то поможет опыта в данном направлении мало. Имеется приложение, принцип его работы следующий, оно постоянно обменивается трафиком через tcp и udp порты с разными серверами. Мне бы хотелось проанализировать этот трафик, тк документация скудная и туповатая, принципе я могу заюзать tcpdump, но я не знаю заранее какие будут нужны порты и тд все очень случайно, может кто-то поскажет как проследить что оно делает, в гугле что-то найти ничего не получается... заранее благодарен.

★★★★★
Ответ на: комментарий от Boy_from_Jungle

а оно умеет разве умеет следить за конкретным процессом, какие он порты открыл что послал/принял?

erfea ★★★★★
() автор топика
Ответ на: комментарий от Boy_from_Jungle

+1024
Очень хороший инструмент,и главное гибкий и кросплатформенный

pinachet ★★★★★
()

И все-же может кто-то вместо флуда типа названий программ и восхищений ими скажет как проанализировать трафик конкретного процесса в системе.

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

>а оно умеет разве умеет следить за конкретным процессом, какие он порты открыл что послал/принял?

берешь trafshow, смотришь какие порты открыло приложение, ну а дальше wireshark'ом слушать, что оно там гоняет по сети

Deleted
()

Если готовые проги, то wireshark.

Если писать самому, то libpcap.

bk_ ★★
()
Ответ на: комментарий от Deleted

берешь trafshow, смотришь какие порты открыло приложение, ну а дальше wireshark'ом слушать, что оно там гоняет по сети

все бы ничего, но я половину трафика просру пока смотрю что-там открылось, оно динамически происходит, причем просрется самое вкусное, анонс на сервере и тд.

erfea ★★★★★
() автор топика

запусти процесс под strace. Там побольше будет информации, что и куда он пишет и в какой момент сокеты открывает.

Liosha_Syrnikov
()
Ответ на: комментарий от Liosha_Syrnikov

мне бы только трафик проанализировать не уж то нет под эти цели ничего? можно посмотреть какие порты открыло, можно собрать трафик а комплексе никто не делал?

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

как вариант LD_PRELOAD на read/write, send/recv, sendto/recvfrom, sendmsg/recvmsg с дампом в файл — и уж точно ничего не пропустиш и без разницы какие оно там порты открывает

beastie ★★★★★
()
Ответ на: комментарий от erfea

все бы ничего, но я половину трафика просру пока смотрю что-там открылось, оно динамически происходит, причем просрется самое вкусное, анонс на сервере и тд.


В Wiresahrk можно писать все сразу. Т.е. запускаешь Wireshark и ставишь случашть интерфейс Any. Запускаешь свою прогу + что-там, чтобы отследить порты. После того как отследил, делаешь в Wireshark фильтрацию по порту для перехваченного трафика. Ничего не пропустишь.

olegk ★★
()

Что ж придется видимо маиться со сниферами, предложеные варианты не удобны, он делает рид/врайт не только в сеть но и файлы, отснифть что нужно будет проще, поймал его на том что вся работа идет с хостами одной доменной зоны, вот по этому признаку перехватить трафик можно.

erfea ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.