Strona 1 z 1
Podejrzenie połączeń z konkretnej otwartej aplikacji
: 24 kwietnia 2015, 15:43
autor: debi@n
Witam,
Dużo używam wine i aplikacji z windowsa na linuxie, wersja debian wheezy. Chciałbym podejrzeć cały "pakiet" połączeń jakie generuję pewna aplikacją (nawet tych które trwają sekundę).
I tutaj się pojawia pytanie jak tego dokonać? W internetach znalazłem porady mądrych głów, jednak one ograniczają się do użycia komendy "netstat", a owa komenda pokazuje tylko połączenia które obecnie trwają i są "nawiązane". Takich sekundowych połączeń chyba tym nie wykryje. Więc bardzo bym był wdzięczny jakby mi ktoś pomógł ową zagadkę rozwikłać.
Z wszelką pomoc bóg zapłać
: 24 kwietnia 2015, 16:54
autor: LordRuthwen
strace, tcpdump
: 24 kwietnia 2015, 17:28
autor: debi@n
Chyba jednak nie o to chodziło, albo po prostu ja nie umiem z tego skorzystać.
: 24 kwietnia 2015, 19:26
autor: Menel
to może wireshark (ma gui)
: 24 kwietnia 2015, 20:01
autor: Yampress
no i wchodzi we grę szpiegowanie
[yampress@debian ~]$ aptitude search tcpdump
p tcpdump - Analizator ruchu sieciowego do wiersza poleceń
[yampress@debian ~]$
[yampress@debian ~]$ aptitude search iptraf
i iptraf - Interaktywny, kolorowy program monitorujący IP w sieci LAN
p iptraf-ng - Next Generation Interactive Colorful IP LAN Monitor
[yampress@debian ~]$
: 24 kwietnia 2015, 20:14
autor: debi@n
Zainstalowałem aplikację "firestarter" no i generalnie jestem zadowolony. Metodą printscreenów
odkryłem co tam się dzieje niedobrego (po uruchomieniu aplikacji z wine od razu śmignęły adresy po czym zniknęły) wtedy uwieczniłem je prinscreenem i teraz analizuję co w trawie piszczy.
Trochę mnie przeraża fakt że ten program potrafi się poczęstować 30% CPU. Czy takie coś jest normalne?
Ciekawe czy jakbym na dedyku odpalił wiresharka to czy bym dostał bana.
: 24 kwietnia 2015, 20:23
autor: Menel
Zainstalowałem aplikację "firestarter"
to jeszcze żyje w ogóle a na wheezym jeszcze jest..
nie wiem jaki masz sprzęt ale jeżeli dźwiga wirtualizację to jest najlepsze rozwiązanie jeżeli chodzi o windowsowe apki..masz odizolowany system, natywny dla swoich aplikacji bez syfu na gospodarzu jak w przypadku wina
: 24 kwietnia 2015, 20:33
autor: Yampress
Na dedyku jestes sam swoim panem. I co przez twój dedyk przechodzi jakiś ruch sieciowy aby cokolwiek szpiegować?
Aby uruchamiać programy szpiegujące musisz mieć niestety root na danym komputerze... Z poziomu usera tryb szpiegowania jest nie do odpalenia
mozesz pobawić się również poleceniem sockstat - zapożyczonym z freebsd na linuxa.
: 24 kwietnia 2015, 20:36
autor: debi@n
Owiście, że mam roota tylko niestety nie mam KVM ani IPMI
I właśnie chyba coś przedobrzyłem z tymi iptablesami bo za cholerę nie mogę się z serwerem połączyć.
Skoro to jest taki stary skrypt do tego iptables to może jest coś podobnego tylko, że nowszego?
: 25 kwietnia 2015, 09:59
autor: Yampress
Ale virtualizacji mogą być problemy ze szpiegowaniem nawet na root
[yampress@debian ~]$ sockstat
USER PROCESS PID PROTO SOURCE ADDRESS FOREIGN ADDRESS STATE
yampress kadu 1102 tcp4 10.0.1.3:44532 91.214.237.36:443 ESTABLISHED
yampress pidgin 1103 tcp4 10.0.1.3:55126 88.86.102.58:5222 ESTABLISHED
yampress chromium 1740 tcp4 10.0.1.3:43992 176.126.56.14:443 ESTABLISHED
yampress chromium 1740 tcp4 10.0.1.3:52668 173.194.112.3:443 ESTABLISHED
yampress chromium 1740 tcp4 10.0.1.3:33336 173.194.112.41:443 ESTABLISHED
yampress chromium 1740 tcp4 10.0.1.3:56103 173.194.44.6:443 ESTABLISHED
yampress chromium 1740 udp4 *:5353 *:* CLOSED
[yampress@debian ~]$