Podejrzenie po

debi@n · Post autor: **debi@n** » 24 kwietnia 2015, 15:43

Witam,
Dużo używam wine i aplikacji z windowsa na linuxie, wersja debian wheezy. Chciałbym podejrzeć cały "pakiet" połączeń jakie generuję pewna aplikacją (nawet tych które trwają sekundę).
I tutaj się pojawia pytanie jak tego dokonać? W internetach znalazłem porady mądrych głów, jednak one ograniczają się do użycia komendy "netstat", a owa komenda pokazuje tylko połączenia które obecnie trwają i są "nawiązane". Takich sekundowych połączeń chyba tym nie wykryje. Więc bardzo bym był wdzięczny jakby mi ktoś pomógł ową zagadkę rozwikłać.
Z wszelką pomoc bóg zapłać

Post autor: **LordRuthwen** » 24 kwietnia 2015, 16:54

strace, tcpdump

debi@n · Post autor: **debi@n** » 24 kwietnia 2015, 17:28

Chyba jednak nie o to chodziło, albo po prostu ja nie umiem z tego skorzystać.

Menel · Post autor: **Menel** » 24 kwietnia 2015, 19:26

to może wireshark (ma gui)

Post autor: **Yampress** » 24 kwietnia 2015, 20:01

no i wchodzi we grę szpiegowanie

[yampress@debian ~]$ aptitude search tcpdump
p tcpdump - Analizator ruchu sieciowego do wiersza poleceń
[yampress@debian ~]$

[yampress@debian ~]$ aptitude search iptraf
i iptraf - Interaktywny, kolorowy program monitorujący IP w sieci LAN
p iptraf-ng - Next Generation Interactive Colorful IP LAN Monitor
[yampress@debian ~]$

debi@n · Post autor: **debi@n** » 24 kwietnia 2015, 20:14

Zainstalowałem aplikację "firestarter" no i generalnie jestem zadowolony. Metodą printscreenów

odkryłem co tam się dzieje niedobrego (po uruchomieniu aplikacji z wine od razu śmignęły adresy po czym zniknęły) wtedy uwieczniłem je prinscreenem i teraz analizuję co w trawie piszczy.
Trochę mnie przeraża fakt że ten program potrafi się poczęstować 30% CPU. Czy takie coś jest normalne?
Ciekawe czy jakbym na dedyku odpalił wiresharka to czy bym dostał bana.

Menel · Post autor: **Menel** » 24 kwietnia 2015, 20:23

Zainstalowałem aplikację "firestarter"

to jeszcze żyje w ogóle a na wheezym jeszcze jest..

nie wiem jaki masz sprzęt ale jeżeli dźwiga wirtualizację to jest najlepsze rozwiązanie jeżeli chodzi o windowsowe apki..masz odizolowany system, natywny dla swoich aplikacji bez syfu na gospodarzu jak w przypadku wina

Post autor: **Yampress** » 24 kwietnia 2015, 20:33

Na dedyku jestes sam swoim panem. I co przez twój dedyk przechodzi jakiś ruch sieciowy aby cokolwiek szpiegować?
Aby uruchamiać programy szpiegujące musisz mieć niestety root na danym komputerze... Z poziomu usera tryb szpiegowania jest nie do odpalenia

mozesz pobawić się również poleceniem sockstat - zapożyczonym z freebsd na linuxa.

debi@n · Post autor: **debi@n** » 24 kwietnia 2015, 20:36

Owiście, że mam roota tylko niestety nie mam KVM ani IPMI

I właśnie chyba coś przedobrzyłem z tymi iptablesami bo za cholerę nie mogę się z serwerem połączyć.
Skoro to jest taki stary skrypt do tego iptables to może jest coś podobnego tylko, że nowszego?

Post autor: **Yampress** » 25 kwietnia 2015, 09:59

Ale virtualizacji mogą być problemy ze szpiegowaniem nawet na root

[yampress@debian ~]$ sockstat
USER PROCESS PID PROTO SOURCE ADDRESS FOREIGN ADDRESS STATE
yampress kadu 1102 tcp4 10.0.1.3:44532 91.214.237.36:443 ESTABLISHED
yampress pidgin 1103 tcp4 10.0.1.3:55126 88.86.102.58:5222 ESTABLISHED
yampress chromium 1740 tcp4 10.0.1.3:43992 176.126.56.14:443 ESTABLISHED
yampress chromium 1740 tcp4 10.0.1.3:52668 173.194.112.3:443 ESTABLISHED
yampress chromium 1740 tcp4 10.0.1.3:33336 173.194.112.41:443 ESTABLISHED
yampress chromium 1740 tcp4 10.0.1.3:56103 173.194.44.6:443 ESTABLISHED
yampress chromium 1740 udp4 *:5353 *:* CLOSED
[yampress@debian ~]$

Podejrzenie po

Podejrzenie połączeń z konkretnej otwartej aplikacji