Как отследить IP-трафик от определенного приложения.

[wl]

Подскажите, пожалуйста, в каком направлении искать.

Есть программа, лезущая в интернет, отправляющая что-то туда и принимающая оттуда данные.  Исходников нет.
Необходимо определить, куда она лезет, что шлет и что получает в ответ.

Могу уточнить - это видеоплеер LiveStation ( http://www.livestation.com/ ) для проигрывания потокового видео. Мне необходимо выяснить, какой поток он получает и как общается с сервером.

Пока в голову приходит только один вариант - netstat -lp - выяснить, что он открыл, а потом wireshark-ом смотреть трафик.
Проблема в том, что я плохо знаком с wireshark-ом.

Нет ли чего-то чуть более специализированного, чтоб само запускало указанный исполняемый файл и отлавливало его коммуникации по IP, UDP, tcp итп?

[bla-bla-bla]

ставь снифер Wireshark

ну или
# /usr/sbin/tcpdump -i eth0 -n -nn -ttt 'host 192.168.2.13 and port 20'

[TrEK]

Если на одной машине... так все просто tcpdump -n host localhost

и смотришь по каким портам и куда множество запросов.

[alexander.pronin]

Очень интересная тема.
У меня тоже вопрос.
Есть некая локальная сеть для простоты только сервер (контроллер некоторой фирмы) и клиент (масдаевский).
IP всех известны, используемый порт на сервере известен.
Физически возможно подключение нашего линь компьютера в эту сеть.
Задача: прологировать дампы обменов между клиентом и сервером для дальнейшего изучения вопроса
и последующей эмуляции клиента и сервера.
Пользователь решил продолжить мысль 28 Сентября 2009, 16:06:51:PS. Понятно, что наиболее правильно включить линь компьютер с двумя сетевыми картами в разрыв между сервером и клиентом и через себя транслировать все транзакции. Тогда можно все залогировать без потерь информации.
Но хочется обойтись без этого.

[bla-bla-bla]

ставиш у себя прокси с перенаправлением всего на контроллер, и у клиента прописываеш себя.
PS. но дело в том что почти весь трафик обмена шифруется открытым случайным ключем..... так что логируй-нелогируй, без пол литру не разберешся  

читай IP-spoofing атака

[alexander.pronin]

Вроде разобрался.
Пока попробовал на самописных сервере и клиенте.
tcpdump рулит.
Хорошие ссылка на опции tcpdump
http://www.intuit.ru/department/security/secopen/6/secopen_6.html
Для быстрого анализа надо хорошо фильтровать, но это уже другая тема.