Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Как отследить IP-трафик от определенного приложения.  (Прочитано 6222 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн wl

  • Автор темы
  • Старожил
  • *
  • Сообщений: 1393
    • Просмотр профиля
Подскажите, пожалуйста, в каком направлении искать.

Есть программа, лезущая в интернет, отправляющая что-то туда и принимающая оттуда данные.  Исходников нет.
Необходимо определить, куда она лезет, что шлет и что получает в ответ.

Могу уточнить - это видеоплеер LiveStation ( http://www.livestation.com/ ) для проигрывания потокового видео. Мне необходимо выяснить, какой поток он получает и как общается с сервером.

Пока в голову приходит только один вариант - netstat -lp - выяснить, что он открыл, а потом wireshark-ом смотреть трафик.
Проблема в том, что я плохо знаком с wireshark-ом.

Нет ли чего-то чуть более специализированного, чтоб само запускало указанный исполняемый файл и отлавливало его коммуникации по IP, UDP, tcp итп?
На свете феньки есть такие, брат Горацио, которых лохи просто не секут. (Шекспир, "Гамлет", вольный перевод)

Оффлайн bla-bla-bla

  • Новичок
  • *
  • Сообщений: 27
    • Просмотр профиля
ставь снифер Wireshark

ну или
# /usr/sbin/tcpdump -i eth0 -n -nn -ttt 'host 192.168.2.13 and port 20'
« Последнее редактирование: 28 Сентября 2009, 15:26:08 от bla-bla-bla »

Оффлайн TrEK

  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Если на одной машине... так все просто tcpdump -n host localhost

и смотришь по каким портам и куда множество запросов.

Оффлайн alexander.pronin

  • Старожил
  • *
  • Сообщений: 2539
    • Просмотр профиля
Очень интересная тема.
У меня тоже вопрос.
Есть некая локальная сеть для простоты только сервер (контроллер некоторой фирмы) и клиент (масдаевский).
IP всех известны, используемый порт на сервере известен.
Физически возможно подключение нашего линь компьютера в эту сеть.
Задача: прологировать дампы обменов между клиентом и сервером для дальнейшего изучения вопроса
и последующей эмуляции клиента и сервера.

Пользователь решил продолжить мысль 28 Сентября 2009, 16:06:51:
PS. Понятно, что наиболее правильно включить линь компьютер с двумя сетевыми картами в разрыв между сервером и клиентом и через себя транслировать все транзакции. Тогда можно все залогировать без потерь информации.
Но хочется обойтись без этого.
« Последнее редактирование: 28 Сентября 2009, 16:06:51 от alexander.pronin »

Оффлайн bla-bla-bla

  • Новичок
  • *
  • Сообщений: 27
    • Просмотр профиля
ставиш у себя прокси с перенаправлением всего на контроллер, и у клиента прописываеш себя.
PS. но дело в том что почти весь трафик обмена шифруется открытым случайным ключем..... так что логируй-нелогируй, без пол литру не разберешся  :P

читай IP-spoofing атака
« Последнее редактирование: 28 Сентября 2009, 19:02:22 от bla-bla-bla »

Оффлайн alexander.pronin

  • Старожил
  • *
  • Сообщений: 2539
    • Просмотр профиля
Вроде разобрался.
Пока попробовал на самописных сервере и клиенте.
tcpdump рулит.
Хорошие ссылка на опции tcpdump
http://www.intuit.ru/department/security/secopen/6/secopen_6.html
Для быстрого анализа надо хорошо фильтровать, но это уже другая тема.

 

Страница сгенерирована за 0.049 секунд. Запросов: 23.