Хороший процесс-специфичный анализатор пакетов / просмотрщик?

3470
tinlyx

Я ищу хороший, бесплатный или не бесплатный пакетный анализатор пакетов.

Основная функция, которую я ищу, - это возможность наблюдать за выбранным процессом и просматривать / читать все данные, которые он отправляет или получает.

Также я хочу иметь возможность прослушивать связи между локальным хостом. (не обязательно)

Я пробовал Wireshark, SmartSniff, SocketSniff, и все они не делают то, что я ищу.

5
Вы можете создавать фильтры в Wireshark. monksy 15 лет назад 1
Для какой ОС это? TRS-80 14 лет назад 2

3 ответа на вопрос

2

Попробуйте сетевой монитор Microsoft http://support.microsoft.com/kb/148942 . Он захватывает необработанные пакеты. Кроме того, он организует захват пакетов процессами на машине.

2
Snark

CommView - отличный анализатор пакетов. Это не бесплатно, но имеет много функций, включая фильтрацию пакетов по процессам:

Что вы можете сделать с CommView

  • Просмотр подробной статистики IP-соединений: IP-адреса, порты, сеансы и т. Д.
  • Реконструировать сеансы TCP.
  • Сопоставьте пакеты с приложением, которое отправляет или получает их.
  • Просматривайте распределение протоколов, использование полосы пропускания, а также диаграммы и таблицы сетевых узлов.
  • Генерация отчетов о трафике в режиме реального времени.
  • Просматривайте захваченные и декодированные пакеты в режиме реального времени.
  • Поиск строк или шестнадцатеричных данных в содержимом захваченного пакета.
  • Импортируйте и экспортируйте пакеты в форматах Sniffer®, EtherPeek ™, AiroPeek ™, Observer®, NetMon и Tcpdump, экспортируйте пакеты в шестнадцатеричном и текстовом форматах.
  • Настройте сигналы тревоги, которые могут уведомлять вас о важных событиях, таких как подозрительные пакеты, высокая пропускная способность, неизвестные адреса и т. Д.
  • Создайте свои собственные плагины для декодирования любого протокола.
  • Обмен данными с вашим приложением через TCP / IP.
  • Экспортируйте любой IP-адрес в SmartWhois для быстрого и удобного поиска IP.
  • Захватить петлевой трафик (новая, уникальная функция в версии 4.1).
Благодарю. Пока что это был единственный продукт, который смог записывать трафик на локальном интерфейсе. Я пробовал Wireshark и инструмент Microsoft Network Monitor, но ни один из них не работал на компьютере с XP, который я пытался отлаживать. Примечание: захват и сохранение работает с демо-версией, но зритель покажет вам только 50% пакетов :( sorin 11 лет назад 0
1
nik

Это интересное требование.
Как насчет использования вашего любимого инструмента захвата наряду с netstatотслеживанием локальных портов и протокола, используемых процессом в течение времени захвата? Вы можете отфильтровать их позже.

пример, 

# с запуском захвата на заднем плане, выполните цикл по следующему netstat -nt --program | grep firefox # это даст вам точный след соединений firefox

Конечно, вы пропустите те, которые быстро заканчиваются между вашими двумя netststвызовами.

Хорошая идея, но при работающем сканере он собирает много нежелательных пакетов даже с фильтрами. Я ищу программу, которую я написал, чтобы увидеть, отправляет ли подозрительный процесс данные на сервер и что они отправляют, пока я запускаю их в песочнице. 15 лет назад 0

Похожие вопросы