Wie kann ich den Netzwerkverkehr eines einzelnen Prozesses erfassen?

Ich würde gerne den Netzwerkverkehr untersuchen, der von einem einzelnen Prozess verarbeitet wird, aber einfache Netzwerkerfassungen funktionieren nicht, da ich mit einem so ausgelasteten System zu tun habe (viel anderer Verkehr geschieht zur gleichen Zeit). Gibt es eine Möglichkeit, den Netzwerkverkehr eines bestimmten Prozesses zu isolieren tcpdumpoder für diesen zu wiresharkerfassen? (Verwenden netstatist nicht ausreichend.)

In der Tat gibt es einen Weg, die Wireshark- Filter zu verwenden. Sie können jedoch nicht direkt nach Prozessname oder PID filtern (da es sich nicht um eine Netzwerkgröße handelt).

Sie sollten zuerst die von Ihrem Prozess verwendeten Protokolle und Ports herausfinden (der Befehl netstat im vorherigen Kommentar funktioniert gut).

Verwenden Sie dann Wireshark, um den eingehenden (oder ausgehenden) Port mit demjenigen zu filtern, den Sie gerade abgerufen haben. Das sollte den eingehenden und ausgehenden Verkehr Ihres Prozesses isolieren.

So starten und überwachen Sie einen neuen Prozess:

strace -f -e trace=network -s 10000 PROCESS ARGUMENTS

So überwachen Sie einen vorhandenen Prozess mit einer bekannten PID:

strace -p $PID -f -e trace=network -s 10000

• -f ist für "folge neuen Prozessen"
• -e definiert einen Filter
• -s Setzt das Limit von Strings auf mehr als 32
• -p Nimmt die Prozess-ID, an die angefügt werden soll

Ich weiß, dass dieser Thread ein bisschen alt ist, aber ich denke, das könnte einigen von Ihnen helfen:

Wenn Ihr Kernel dies zulässt, können Sie den Netzwerkverkehr eines einzelnen Prozesses sehr einfach erfassen, indem Sie den Prozess in einem isolierten Netzwerk-Namespace ausführen und im Namespace auch Wireshark (oder andere Standard-Netzwerk-Tools) verwenden.

Das Setup mag etwas komplex erscheinen, aber wenn Sie es erst einmal verstanden haben und sich damit vertraut gemacht haben, wird es Ihnen die Arbeit erheblich erleichtern.

Um dies zu tun:

• Erstellen Sie einen Testnetzwerk-Namespace:

  ip netns add test
  

• Erstellen Sie ein Paar virtueller Netzwerkschnittstellen (veth-a und veth-b):

  ip link add veth-a type veth peer name veth-b
  

• Ändern Sie den aktiven Namespace der Veth-A-Schnittstelle:

  ip link set veth-a netns test
  

• Konfigurieren Sie die IP-Adressen der virtuellen Schnittstellen:

  ip netns exec test ifconfig veth-a up 192.168.163.1 netmask 255.255.255.0
  ifconfig veth-b up 192.168.163.254 netmask 255.255.255.0
  

• Konfigurieren Sie das Routing im Testnamespace:

  ip netns exec test route add default gw 192.168.163.254 dev veth-a
  

• Aktivieren Sie ip_forward und richten Sie eine NAT-Regel ein, um den vom erstellten Namespace eingehenden Datenverkehr weiterzuleiten (Sie müssen die Netzwerkschnittstelle und die SNAT-IP-Adresse anpassen):

  echo 1 > /proc/sys/net/ipv4/ip_forward
  iptables -t nat -A POSTROUTING -s 192.168.163.0/24 -o <your internet interface, e.g. eth0> -j SNAT --to-source <your ip address>
  

  (Sie können auch die MASQUERADE-Regel verwenden, wenn Sie es vorziehen)

• Schließlich können Sie den zu analysierenden Prozess im neuen Namespace ausführen und auch wireshark:

  ip netns exec test thebinarytotest
  ip netns exec test wireshark
  

  Sie müssen die veth-a-Schnittstelle überwachen.

netstat -taucp | grep <pid or process name>

Hier werden die Verbindungen angezeigt, die eine Anwendung herstellt, einschließlich des verwendeten Ports.

Nur eine Idee: Ist es möglich, Ihre Anwendung an eine andere IP-Adresse zu binden? In diesem Fall können Sie die üblichen Verdächtigen ( tcpdump usw.) verwenden.

Tools für Anwendungen, die nicht an eine andere IP-Adresse gebunden werden können:

http://freshmeat.net/projects/fixsrcip

fixsrcipist ein Tool zum Binden von ausgehenden TCP- und UDP-Client-Sockets ( IPv4 ) an bestimmte Quell-IP-Adressen auf mehrfach vernetzten Hosts

http://freshmeat.net/projects/force_bind

force_bindErmöglicht es Ihnen, das Binden einer bestimmten IP und / oder eines bestimmten Ports zu erzwingen. Es funktioniert sowohl mit IPv4 als auch mit IPv6 .

Ich habe ein ähnliches Problem kommen , und ich war in der Lage , es zu klären , basierend auf dieser Antwort von IOError , mit NFLOG wie hier :

# iptables -A OUTPUT -m owner --uid-owner 1000 -j CONNMARK --set-mark 1
# iptables -A INPUT -m connmark --mark 1 -j NFLOG --nflog-group 30 
# iptables -A OUTPUT -m connmark --mark 1 -j NFLOG --nflog-group 30 
# dumpcap -i nflog:30 -w uid-1000.pcap

Dann können Sie den fraglichen Prozess von einem Benutzerkonto aus ausführen, das nichts anderes tut - und voila, Sie haben gerade den Datenverkehr von einem einzelnen Prozess isoliert und erfasst.

Ich wollte nur zurückschicken, falls es jemandem hilft.

Ich habe eine C-Anwendung geschrieben, die das tut, was in der großartigen Antwort oben von felahdab beschrieben ist!

Siehe hier: nsntrace github repo

Dies ist ein schmutziger Hack, aber ich würde entweder eine Umleitung oder ein Protokollziel mit iptables für eine bestimmte UID vorschlagen. z.B:

iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner $USER -m tcp -j LOG 
iptables -t nat -A OUTPUT -p udp -m owner --uid-owner $USER -m udp -j LOG 

Es könnte sich auch lohnen, etwas wie "--log-tcp-sequence", "--log-tcp-options", "--log-ip-options", "--log-uid" für dieses Protokollziel zu untersuchen . Obwohl ich vermute, dass Ihnen das nur dabei helfen wird, einen PCap nachzubearbeiten, der eine Menge anderer Daten enthält.

Das NFLOG-Ziel kann nützlich sein, wenn Sie Pakete kennzeichnen möchten und dann bestimmte markierte Pakete über einen Netlink-Socket an einen Prozess Ihrer Wahl gesendet werden. Ich frage mich, ob das nützlich wäre, um etwas mit wireshark und Ihrer spezifischen Anwendung, die als bestimmter Benutzer ausgeführt wird, zu hacken.

Sie können versuchen, tracedump - http://mutrics.iitis.pl/tracedump

Es macht genau das, was Sie wollen, Sie können ihm entweder eine Prozess-ID geben oder ein Programm ausführen.

Versuchen Sie, den gewünschten Prozess auszuführen :

strace ping www.askubuntu.com

Es gibt Ihnen einige sehr detaillierte Informationen darüber, was Ihr Prozess tut. Da ein Prozess beliebige Ports öffnen kann, können Sie mithilfe eines vordefinierten Filters möglicherweise etwas verpassen.

Ein anderer Ansatz wäre, eine abgespeckte virtuelle Maschine oder eine Testmaschine in Ihrem Netzwerk zu verwenden und Ihren Prozess isoliert darauf abzulegen. Dann können Sie einfach Wireshark verwenden , um alles von dieser Maschine zu fangen. Sie sind sich ziemlich sicher, dass der von Ihnen erfasste Datenverkehr relevant ist.

Aufbauend auf der Antwort von ioerror können Sie vermutlichiptables --uid-owner eine Markierung für den Verkehr setzen, und dann können Sie wireshark auffordern, nur den Verkehr mit dieser Markierung zu erfassen. Möglicherweise können Sie einen DSCP-Marker (Differential Services Marker), eine Flow-ID oder einen QOS-Marker verwenden.

Oder Sie können dies verwenden, um diese Pakete über eine andere Schnittstelle zu senden und dann nur auf dieser Schnittstelle zu erfassen.

Wireshark Bug # 1184 ist diese Funktion. Es ist noch nicht implementiert.
Kopiert vom Benutzer cmanynard unter ask.wireshark.org

vielleicht können iptables und ulog funktionieren? Nicht, dass ich ein genaues Rezept hätte, aber ich denke, iptables kann mit Prozessen übereinstimmen. Einmal abgestimmt, könnten Sie ulog verwenden.

Ich denke, Sie können ein Shell-Skript erstellen, um die Ausführung von netstat zu durchlaufen und es in einer Textdatei zu protokollieren. So etwas wie (sehr grobe Schritte):

echo "press q to quit"
while [ <q is not pressed>]
do
    `netstat -taucp | grep <pid or process name> 1>>logfile.txt`
done

Ich bin kein Programmierer, deshalb kann ich das nicht verfeinern. Aber hier kann jemand dort anfangen, wo ich aufgehört habe, und ein funktionierendes Skript für Sie erstellen.