wireshark какой процесс сделал запрос

[yoricI]

Здра!
Нет ли программы, подобной wireshark, в дополнение показывающей какой процесс инициировал или ответил на запрос? Он почему-то не показывает этого (можно догадаться по названию протокола, но не всегда). Это невозможно? nenstat показывает, но только установленные соединения в статике. У обмен по сети типа как tcpdump или wireshrk с инициатором или ответчиком?

Кажется, я догадался, почему это не делают. Он может показать адрес:порт, а порт может быть перенаправлен другому приложению, в общем, надо ещё системые конфиги сканировать. Хотя, иногда в списке процессов ps есть порт. Но это ж всё надо дополнительно сканировать. Правильно?

[Bizdelnick]

Просто не предусмотрено такого механизма. Пакеты ловятся в одном месте, кто работает с портом — надо смотреть в другом, пока до него дойдёшь — порт может уже быть закрыт.

[yoricI]

Пакеты ловятся в одном месте, кто работает с портом — надо смотреть в другом, пока до него дойдёшь — порт может уже быть закрыт.

Ну а в случае устойчиво установленного соединения почему бы и не?

[Bizdelnick]

Потому что нет гарантии, что оно надолго установлено, а писать программу, которая будет выдавать непредсказуемые результаты, — это обрекать на мучения и пользователей, и себя, ведь жалобы от пользователей разгребать придётся.

[yoricI]

Во-первых, netstat выдаёт.
Во-вторых, почему это непредсказуемые? Понятно, что оно в любой момент может рассыпаться, но на момент опроса будьте добры, пож-ста.
А то так можно и вообще комп выключить

[Bizdelnick]

Во-первых, netstat выдаёт.

Но не в привязке к пакетам.

Во-вторых, почему это непредсказуемые? Понятно, что оно в любой момент может рассыпаться, но на момент опроса будьте добры, пож-ста.

Так непонятно, рассыпется всё до момента опроса или после. Типичный race condition. Причём может вообще кто-то другой успеть тот же порт открыть.

[yoricI]

Но не в привязке к пакетам.

Вообще-то да, сдаюсь, установленное соединение есть оно же и есть.

[sunjob]

почему нет?! хороший пример сетевой фильтр MacOSX: Little Snitch

little-snitch-5712-1.jpg

в свое время даже были попытки портировать его на линух (за проектом не следил, не знаю что там с ним сейчас)

[yoricI]

Это не то, что требовалось, насколько я вижу

[sunjob]

приведен "как пример"
- слева - имена приложений
- справа - сетевая активность
т.е. реализация вполне возможна! (как-то так?! или я не все неправильно непонял?!)

[yoricI]

Справа там вроде совсем не сетевая активность, а правила экрана?

[sunjob]

а правила экрана?

именно... а эти правила добавляются/привязываются к приложению! т.е. полезло "оно" в сеть - всплывает окно с вопросом:
- приложение такое-то
- активность такая-то
- вопрос/ответ: да/нет/пофиг

в логах - вся активность

[Bizdelnick]

Сетевой экран может, в принципе, получать инфу о процессе, вот только не знаю, входит ли в эту инфу PID. Вроде бы, только cgroup, UID и GID. Но даже если б и мог, pcap-то, который собственно захватывает пакеты, не через него работает. Проблема не в том, чтобы получить данные, а в том, чтобы увязать одно с другим.

[sunjob]

...

как литл-снитч определяет к какому приложению относится сетевая активность? (ваши идеи)

[yoricI]

сетевая активность

Смотря что под этим подразумевать. Это дело такое, разнообразное.

[Bizdelnick]

как литл-снитч определяет к какому приложению относится сетевая активность? (ваши идеи)

В макоси? Понятия не имею. В darwin немножко совсем иная реализация сетевого стека, нежели в linux.

[sunjob]

darwin немножко совсем иная

~ bsd

[Aliech]

~ bsd

Разве? Там от bsd часть юзерленда была, а не ядро. Плюс своя libc. Своё ядро, своя libc - можно любой блеклдек и любых профурсеток там запрятать.

А по сути вопроса: на данный момент, если я ничего не путают, pcap представляет собой набор фильтров для bpf. Коль скоро bpf пронизывает собой много что, то, теоретически, uid'ы тоже можно заполучить. Но... это не точно.

И это делать что-то надо, чего я ещё ни разу не делал. Так что даже не берусь думать о том, сложно ли писать филтры для bpf.

[sunjob]

url1
url1
url1

01.png

[Aliech]

sunjob, для разнообразия знать, что есть и такое - не плохо. Но как прикрутить это к wireshark? А точнее к libpcap?

[sunjob]

Нет ли программы, подобной wireshark, в дополнение показывающей...

а вот...

как прикрутить

да кто-же его знает?!

[yoricI]

а вот...

Сделать вам что ли снимок wireshark-a? Или сами запустите? Это совсем не то, это в стиле netstat, показаны установленные или потенциально разрешённые/запрещённые соединения, а не отдельные пакеты. Покажите пакеты, как у wireshark or tcpdump, с заголовками ehternet и прочими, относящиеся к приложениям. Правила экрана не интересны.
Это как скорее iptables, он тоже умеет вроде по приложениям фильтровать.

[Bizdelnick]

Это как скорее iptables, он тоже умеет вроде по приложениям фильтровать.

Интересно, что, согласно старым версиям man iptables-extensions, модуль owner это умел (не «по приложениям», строго говоря, а по PID), а согласно современным — уже нет. Видимо, посчитали, что cgroups для этой цели лучше подходят.

[Aliech]

А по сути вопроса: на данный момент, если я ничего не путают, pcap представляет собой набор фильтров для bpf. Коль скоро bpf пронизывает собой много что, то, теоретически, uid'ы тоже можно заполучить. Но... это не точно.

Простите пожалуйста, тут uid'ы читать как pid'ы. Но это всё так же не точно.

Только сейчас заметил, что лажанул. Извините

[sunjob]

а не отдельные пакеты

в вашем 1м сообщении ни чего не говорится про пакеты

какой процесс инициировал или ответил на запрос?

ну а... собственно, вам виднее, это же ваше сообщение?!

[/dev/random]

в вашем 1м сообщении ни чего не говорится про пакеты

В его первом сообщении говорится: "Нет ли программы, подобной wireshark, в дополнение показывающей..." (выделено мной). Wireshark предназначен для захвата и визуального разбора пакетов.

[sunjob]

подобной wireshark

снитч

приведен "как пример"

под капотом снитча вполне возможно есть механизм, который "нужен" автору топика.
если снитч не подходит - значит так тому и быть! я не против!

[/dev/random]

снитч

Поправьте, если заблуждаюсь, но я не вижу в документации снитча разбора пакетов как в wireshark (см. нижнюю половину этого скриншота).

[sunjob]

пакеты "как в варешарк" не показываются, справедливости для скрины с доступными настройками из macosx (старая версия)
движек сайта глючит

Spoiler

scr 2025-04-08 at 08.49.48.jpg

scr 2025-04-08 at 08.49.16.jpg

scr 2025-04-08 at 08.49.00.jpg

[sunjob]

opensnitch

Spoiler

screenshot.png

opensnitch-ui-proc-details.png

opensnitch-ui-general-tab-deny.png