কোনও টিসিপি ফিল্টার / অনুসরণ করার উপায় আছে কি?ওয়্যারশার্ক ব্যবহার করে কোনও নির্দিষ্ট প্রক্রিয়া আইডির ভিত্তিতে / এসএসএল স্ট্রিম ?
উত্তর:
আমি কিভাবে দেখতে পাচ্ছি না। পিআইডি এটিকে তারের উপরে রাখে না (সাধারণত কথা বলছে), তারপরে ওয়্যারশার্ক আপনাকে তারের কী রয়েছে তা দেখার অনুমতি দেয় - সম্ভাব্য সমস্ত মেশিন যা তারের মাধ্যমে যোগাযোগ করছে। প্রক্রিয়া আইডি যাইহোক, বিভিন্ন মেশিনে অনন্য নয়।
আপনি যদি কোনও বিকল্প উপায় সন্ধান করেন এবং আপনি যে পরিবেশটি ব্যবহার করছেন সেটি উইন্ডোজ, মাইক্রোসফ্টের নেটওয়ার্ক মনিটর ৩.৩ একটি ভাল পছন্দ। এটিতে প্রক্রিয়া নামের কলাম রয়েছে। আপনি প্রাসঙ্গিক মেনুটি ব্যবহার করে সহজেই ফিল্টারটিতে এটি যুক্ত করুন এবং ফিল্টারটি প্রয়োগ করুন .. যথারীতি জিইউআই খুব স্বজ্ঞাত ...
আপনি ওয়্যারশার্ক থেকে শুরু করে পোর্ট নম্বর পর্যন্ত পোর্ট সংখ্যার সাথে মিল রাখতে পারেন, বলুন, নেটস্ট্যাট যা আপনাকে সেই বন্দরে শোনার কোনও প্রক্রিয়ার পিআইডি বলবে।
মাইক্রোসফ্ট মেসেজ অ্যানালাইজার v1.4 ব্যবহার করুন
ক্ষেত্র চয়নকারী থেকে প্রসেসআইডে নেভিগেট করুন।
Etw
-> EtwProviderMsg
--> EventRecord
---> Header
----> ProcessId
ডান ক্লিক করুন এবং কলাম হিসাবে যুক্ত করুন
উইন্ডোজে একটি পরীক্ষামূলক বিল্ড রয়েছে যা মেলিং তালিকায় বর্ণিত হিসাবে স্থানীয় প্রক্রিয়া নাম অনুসারে ফিল্টার করে does
নির্দিষ্ট প্রক্রিয়াগুলির সাথে সংযোগ স্থাপনের চেষ্টা করার জন্য এটি নিরীক্ষণের জন্য সক্ষম হওয়া একটি গুরুত্বপূর্ণ বিষয় এবং লিনাক্সে এটি করার কোনও সুবিধাজনক উপায় নেই বলে মনে হয়। যাইহোক, বেশ কয়েকটি কাজের ক্ষেত্র সম্ভব এবং তাই আমি তাদের উল্লেখ করার মতো এটি অনুভব করি।
ননেট নামে একটি প্রোগ্রাম রয়েছে যা কোনও ইন্টারনেট অ্যাক্সেস ছাড়াই একটি প্রোগ্রাম চালানোর অনুমতি দেয় (আমার সিস্টেমে বেশিরভাগ প্রোগ্রাম লঞ্চার এটি দিয়ে সেট আপ করা আছে)। এটি গ্রুপ নোনেটে একটি প্রক্রিয়া চালনার জন্য সেটগুইড ব্যবহার করে এবং একটি আইপটিবল সেট করে এই গ্রুপ থেকে সমস্ত সংযোগ প্রত্যাখ্যান করার জন্য বিধি ।
আপডেট: এখন অবধি আমি একটি আরও সহজ সিস্টেম ব্যবহার করি, আপনি সহজেই ফার্মের সাথে একটি পঠনযোগ্য iptables কনফিগারেশন রাখতে পারেন, এবং কেবল প্রোগ্রামটি ব্যবহার করতে পারেন sg নির্দিষ্ট গ্রুপের সাথে একটি প্রোগ্রাম চালানোর । Iptables আপনাকে ট্র্যাফিককে পুনরায় তৈরি করতে অনুমতি দেয় যাতে আপনি এমনকি কোনও পোর্টের একটি পৃথক ইন্টারফেস বা স্থানীয় প্রক্সিতেও যেতে পারেন যেখানে আপনি ওয়াইরশার্কে ফিল্টার করতে পারবেন বা আইপেটেবল থেকে সরাসরি প্যাকেটগুলি লগ করতে পারবেন আপনি যদি সমস্ত ইন্টারনেট অক্ষম করতে না চান তবে ট্র্যাফিক চেক আউট হয়।
কোনও গ্রুপে প্রোগ্রাম চালানোর জন্য এটি খাপ খাইয়ে নেওয়া খুব জটিল নয় এবং মৃত্যুদন্ড কার্যকর হওয়ার সময়কালের জন্য iptables সহ অন্যান্য সমস্ত ট্র্যাফিক কেটে ফেলুন এবং তারপরে আপনি কেবল এই প্রক্রিয়া থেকে ট্র্যাফিক ক্যাপচার করতে পারবেন।
আমি যদি কখনও এটি লেখার জন্য আসে তবে আমি এখানে একটি লিঙ্ক পোস্ট করব।
অন্য নোটে, আপনি সর্বদা ভার্চুয়াল মেশিনে একটি প্রক্রিয়া চালাতে পারেন এবং এটির সংযোগগুলি আলাদা করতে সঠিক ইন্টারফেসটি স্নিগ্ধ করতে পারেন, তবে এটি বেশ নিকৃষ্ট সমাধান হবে ...
আপনি যদি এমন কোনও অ্যাপ্লিকেশন অনুসরণ করতে চান যা এখনও শুরু করতে হয় তবে তা অবশ্যই সম্ভব:
docker run -t -i ubuntu /bin/bash (আপনার পছন্দসই ডিস্ট্রোতে "উবুন্টু" পরিবর্তন করুন, এটি আপনার আসল সিস্টেমে একই রকম হবে না)any, wlan0, eth0, ... নতুন ভার্চুয়াল ইন্টারফেস পছন্দ করে docker0পরিবর্তে।আপনার সফ্টওয়্যারটি একটি ধারক পাতায় চালানো সম্পর্কে আপনার কিছু সন্দেহ থাকতে পারে, সুতরাং আপনি যে প্রশ্নগুলি জিজ্ঞাসা করতে চান তার উত্তর এখানে দেওয়া হল:
কিছু ক্ষেত্রে আপনি প্রক্রিয়া আইডি দ্বারা ফিল্টার করতে পারবেন না। উদাহরণস্বরূপ, আমার ক্ষেত্রে আমার একটি প্রক্রিয়া থেকে ট্র্যাফিক স্নিগ্ধ করা দরকার। তবে আমি এর কনফিগার টার্গেট মেশিনের আইপি-ঠিকানা, ফিল্টার ip.dst==someipএবং ভয়েলা যুক্ত করেছি। এটি কোনও ক্ষেত্রে কাজ করবে না, তবে কারওর জন্য এটি কার্যকর it's
ব্যবহার করে বন্দর নম্বর পান netstat:
netstat -b
এবং তারপরে ওয়্যারশার্ক ফিল্টারটি ব্যবহার করুন:
tcp.port == portnumber
straceএই পরিস্থিতির জন্য ব্যবহার আরও উপযুক্ত।
strace -f -e trace=network -s 10000 -p <PID>;
-fসমস্ত ফোরকড প্রক্রিয়াগুলি সনাক্ত করতে, -e trace=netwrokকেবলমাত্র নেটওয়ার্ক সিস্টেম কল-কে ফিল্টার -sকরতে এবং 10000 চর পর্যন্ত স্ট্রিংয়ের দৈর্ঘ্য প্রদর্শনের বিকল্পগুলি ।
আপনি কেবল প্রেরণ, রেকভ, পড়ার ক্রিয়াকলাপের মতো নির্দিষ্ট কলগুলিও সন্ধান করতে পারেন।
strace -f -e trace=send,recv,read -s 10000 -p <PID>;