Saya ingin memeriksa lalu lintas jaringan yang ditangani oleh satu proses, tetapi tangkapan jaringan sederhana tidak akan berfungsi karena saya berurusan dengan sistem yang sibuk (banyak lalu lintas lainnya terjadi pada saat yang sama). Apakah ada cara untuk mengisolasi tcpdumpatau wiresharkmenangkap lalu lintas jaringan dari satu proses spesifik? (Menggunakan netstattidak cukup.)
Jawaban:
Memang ada caranya, menggunakan filter Wireshark . Tetapi Anda tidak dapat memfilter secara langsung berdasarkan nama proses atau PID (karena itu bukan jumlah jaringan).
Pertama-tama Anda harus mencari tahu protokol dan port yang digunakan oleh proses Anda ( perintah netstat dalam komentar sebelumnya berfungsi dengan baik).
Kemudian gunakan Wireshark untuk memfilter port masuk (atau keluar) dengan yang baru saja Anda ambil. Itu harus mengisolasi lalu lintas masuk dan keluar dari proses Anda.
netstat; Saya hanya bisa menangkap koneksi berumur panjang. :(
Untuk memulai dan memantau proses baru:
strace -f -e trace=network -s 10000 PROCESS ARGUMENTS
Untuk memantau proses yang ada dengan PID yang dikenal:
strace -p $PID -f -e trace=network -s 10000
-f adalah untuk "ikuti proses baru"-e mendefinisikan filter-s menetapkan batas string lebih dari 32-p membutuhkan id proses untuk dilampirkanSaya tahu utas ini agak lama tetapi saya pikir ini mungkin membantu sebagian dari Anda:
Jika kernel Anda membolehkannya, menangkap lalu lintas jaringan dari satu proses sangat mudah dilakukan dengan menjalankan proses tersebut di ruang nama jaringan yang terisolasi dan menggunakan wireshark (atau alat jaringan standar lainnya) di ruang nama tersebut juga.
Penyiapannya mungkin terlihat sedikit rumit, tetapi begitu Anda memahaminya dan menjadi terbiasa dengannya, itu akan sangat memudahkan pekerjaan Anda.
Untuk melakukannya:
buat namespace jaringan uji:
ip netns add test
buat sepasang antarmuka jaringan virtual (veth-a dan veth-b):
ip link add veth-a type veth peer name veth-b
ubah namespace aktif dari antarmuka veth-a:
ip link set veth-a netns test
konfigurasikan alamat IP dari antarmuka virtual:
ip netns exec test ifconfig veth-a up 192.168.163.1 netmask 255.255.255.0
ifconfig veth-b up 192.168.163.254 netmask 255.255.255.0
konfigurasikan perutean dalam namespace tes:
ip netns exec test route add default gw 192.168.163.254 dev veth-a
aktifkan ip_forward dan buat aturan NAT untuk meneruskan lalu lintas yang datang dari namespace yang Anda buat (Anda harus menyesuaikan antarmuka jaringan dan alamat ip SNAT):
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.163.0/24 -o <your internet interface, e.g. eth0> -j SNAT --to-source <your ip address>
(Anda juga dapat menggunakan aturan MASQUERADE jika Anda mau)
akhirnya, Anda bisa menjalankan proses yang ingin Anda analisis di namespace baru, dan wireshark juga:
ip netns exec test thebinarytotest
ip netns exec test wireshark
Anda harus memantau antarmuka veth-a.
socat .
--to-sourceargumen iptables? Apakah ini alamat IP dari antarmuka yang Anda berikan ke -oopsi, alamat IP yang Anda buat, atau ??? Saya mencoba versi topeng yang tidak perlu --to-source, seperti yang dijelaskan di sini , dan itu berhasil!
netstat -taucp | grep <pid or process name>
Itu akan menunjukkan koneksi yang sedang dibuat aplikasi termasuk port yang sedang digunakan.
Hanya sebuah gagasan: Apakah mungkin untuk mengikat aplikasi Anda ke alamat IP yang berbeda? Jika demikian, Anda dapat menggunakan tersangka biasa ( tcpdump , dll.)
Alat untuk aplikasi yang tidak mampu mengikat ke alamat IP lain:
http://freshmeat.net/projects/fixsrcip
fixsrcipadalah alat untuk mengikat soket klien TCP dan UDP ( IPv4 ) keluar ke alamat IP sumber tertentu pada host multi-homed
http://freshmeat.net/projects/force_bind
force_bindmemungkinkan Anda untuk memaksa mengikat pada IP dan / atau port tertentu. Ia bekerja dengan IPv4 dan IPv6 .
Saya telah datang ke masalah yang sama dan saya bisa mengatasinya berdasarkan jawaban ini dengan ioerror , menggunakan NFLOG seperti yang dijelaskan di sini :
# iptables -A OUTPUT -m owner --uid-owner 1000 -j CONNMARK --set-mark 1
# iptables -A INPUT -m connmark --mark 1 -j NFLOG --nflog-group 30
# iptables -A OUTPUT -m connmark --mark 1 -j NFLOG --nflog-group 30
# dumpcap -i nflog:30 -w uid-1000.pcap
Kemudian Anda dapat membuat menjalankan proses yang dimaksud dari akun pengguna yang tidak melakukan hal lain - dan voila, Anda baru saja mengisolasi dan menangkap lalu lintas dari satu proses tunggal.
Hanya ingin memposting kembali jika itu membantu siapa pun.
Saya menulis aplikasi C yang melakukan apa yang dijelaskan dalam jawaban di atas oleh felahdab!
Lihat di sini: nsntrace github repo
Ini adalah hack kotor tapi saya sarankan pengalihan atau target log dengan iptables untuk UID yang diberikan. misalnya:
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner $USER -m tcp -j LOG
iptables -t nat -A OUTPUT -p udp -m owner --uid-owner $USER -m udp -j LOG
Mungkin juga layak untuk melihat sesuatu seperti '--log-tcp-sequence', '--log-tcp-options', '--log-ip-options', '--log-uid' untuk target log tersebut . Meskipun saya menduga itu hanya akan membantu Anda memposting proses pcap yang mencakup banyak data lainnya.
Target NFLOG mungkin berguna jika Anda ingin menandai paket dan kemudian paket yang ditandai akan dikirim melalui soket netlink ke proses yang Anda pilih. Saya ingin tahu apakah itu akan berguna untuk meretas sesuatu dengan wireshark dan aplikasi spesifik Anda berjalan sebagai pengguna tertentu?
Anda dapat mencoba tracedump - http://mutrics.iitis.pl/tracedump
Itu tidak persis apa yang Anda inginkan, Anda bisa memberikannya ID proses atau program untuk dijalankan.
Coba jalankan proses yang Anda minati di bawah strace :
strace ping www.askubuntu.com
Ini akan memberi Anda beberapa informasi yang sangat terperinci tentang apa yang dilakukan proses Anda. Karena suatu proses dapat membuka port apa saja yang diinginkan ke mana saja, menggunakan filter yang telah ditentukan sebelumnya Anda mungkin kehilangan sesuatu.
Pendekatan lain adalah dengan menggunakan mesin virtual stripped-down atau mesin uji di jaringan Anda, dan menempatkan proses Anda di atasnya dalam isolasi ini. Kemudian Anda bisa menggunakan Wireshark untuk menangkap semua dari mesin itu. Anda akan cukup yakin bahwa lalu lintas yang Anda tangkap akan relevan.
Membangun jawaban dengan ioerror Saya kira Anda dapat menggunakaniptables --uid-owner untuk menetapkan penanda pada lalu lintas, dan kemudian Anda dapat meminta wireshark untuk menangkap hanya lalu lintas dengan penanda itu. Anda mungkin dapat menggunakan DSCP (penanda layanan diferensial), id aliran atau penanda qos.
Atau memang Anda bisa menggunakan ini untuk mengirim paket-paket itu keluar antarmuka yang berbeda, dan kemudian menangkap hanya pada antarmuka itu.
wireshark bug # 1184 adalah fitur ini. Itu belum diimplementasikan.
Disalin dari pengguna cmanynard di ask.wireshark.org
mungkin iptables dan ulog dapat bekerja? Bukannya saya punya resep yang tepat, tapi saya pikir iptables bisa cocok dengan proses, sekali cocok Anda bisa menggunakan ulog.
iptables -m owner --pid-owner $PIDtelah dihapus di Linux 2.6.14: ftp.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.14
Saya pikir Anda dapat membuat skrip shell untuk mengulang melalui menjalankan netstat dan masuk ke file teks. Sesuatu seperti (langkah yang sangat kasar):
echo "press q to quit"
while [ <q is not pressed>]
do
`netstat -taucp | grep <pid or process name> 1>>logfile.txt`
done
Saya bukan seorang programmer, jadi saya tidak bisa memperbaiki ini. Tetapi seseorang di sini dapat mulai dari tempat saya tinggalkan dan membuat skrip yang berfungsi untuk Anda.
netstatdan menangkap filter jaringan sederhana pada mesin yang sibuk.