有没有办法将数据包与执行二进制文件相关联?我愿意接受传统的嗅探方法,甚至dtrace就此而言。
我在流量非常高的系统上有一个特定问题。嗅探“所有”数据包并过滤它们正在成为一个非常繁重的问题,并且在这种情况下不可能消除除违规应用程序之外的所有数据包排放。
AskOverflow.Dev
有没有办法将数据包与执行二进制文件相关联?我愿意接受传统的嗅探方法,甚至dtrace就此而言。
我在流量非常高的系统上有一个特定问题。嗅探“所有”数据包并过滤它们正在成为一个非常繁重的问题,并且在这种情况下不可能消除除违规应用程序之外的所有数据包排放。
你没有提到你在所述系统上运行的操作系统,但如果它运行的是 Windows,你可以使用 Microsoft 网络监视器,它显示每个“对话”的进程 ID,因此它应该允许你集中分析。“过滤”每个进程 ID 的流量就像在左窗格中选择进程并在右窗格中查看它的流量一样简单。
不确定这是您需要的,但 netstat 可以帮助您将进程 ID 与网络端口相关联。然后在 wireshark 中,您可以过滤该端口号,只嗅探特定进程 ID 的数据包。
在 Windows 上有一个实验性版本可以执行此操作,如邮件列表中所述:http: //www.wireshark.org/lists/wireshark-dev/201212/msg00069.html
最近我遇到了一个非常好的解决这个问题的方法并想分享。它可以在 DTrace Book 中找到:http ://www.dtracebook.com
您需要从此处下载示例:http ://www.dtracebook.com/images/dtbook_scripts.tar.gz
我没有运行 OS X。我将脚本解压缩到
dtbook我的目录下~/bin并执行相应的脚本,如下所示:然后将为您提供所有进程及其连接。我现在通常将其导入
grep并专门搜索应用程序。