Есть ли способ связать пакеты с исполняемыми двоичными файлами? Я был бы открыт для традиционных методов обнюхивания или даже dtrace
в этом отношении.
У меня особая проблема в системе с очень высоким трафиком. Обнюхивание «всех» пакетов и их фильтрация становится очень обременительной проблемой, и в этом сценарии невозможно исключить отправку пакетов от всех, кроме вызывающего нарушения приложения.
Вы не упоминаете, какую ОС вы используете в указанной системе, но если она работает под управлением Windows, вы можете использовать Microsoft Network Monitor, который показывает идентификатор процесса для каждого «разговора», поэтому он должен позволить вам сфокусировать анализ. «Фильтровать» трафик по идентификатору процесса так же просто, как выбрать процесс на левой панели и просмотреть его трафик на правой панели.
Не уверен, что это то, что вам нужно, но netstat может помочь вам связать идентификатор процесса с сетевым портом. Затем в wirehark вы можете фильтровать этот номер порта, чтобы прослушивать только пакеты с определенным идентификатором процесса.
Недавно я наткнулся на действительно хорошее решение этой проблемы и хотел поделиться. Он находится в книге DTrace: http://www.dtracebook.com
Вы захотите взять примеры отсюда: http://www.dtracebook.com/images/dtbook_scripts.tar.gz
У меня нет OS X. Я извлек скрипты в dtbook
под моим ~/bin
и выполнил соответствующий сценарий следующим образом:
sudo ~/bin/dtbook/Chap6/soconnect_mac.d
Что затем предоставит вам все процессы с их подключениями. Я обычно вставляю это в grep
и ищите приложения именно сейчас.
В Windows есть экспериментальная сборка, которая делает это, как описано в списке рассылки: http://www.wireshark.org/lists/wireshark-dev/201212/msg00069.html