Existe-t-il un moyen d'associer des paquets à l'exécution de binaires ? Je serais ouvert aux méthodes de reniflage traditionnelles ou même dtrace d'ailleurs.
J'ai un problème spécifique sur un système à très fort trafic. Renifler "tous" les paquets et les filtrer devient un problème très lourd et éliminer l'émission de paquets de tous, sauf de l'application incriminée, n'est pas possible dans ce scénario.
Vous ne mentionnez pas quel système d'exploitation vous utilisez sur ce système, mais s'il s'agit de Windows, vous pouvez utiliser Microsoft Network Monitor, qui affiche l'ID du processus pour chaque "conversation", ce qui devrait vous permettre de cibler votre analyse. Pour "filtrer" le trafic par ID de processus, il suffit de sélectionner le processus dans le volet de gauche et de visualiser son trafic dans le volet de droite.
Sous Windows, il existe une version expérimentale qui fait cela, comme décrit sur la liste de diffusion : http://www.wireshark.org/lists/wireshark-dev/201212/msg00069.html
Récemment, je suis tombé sur une solution très intéressante pour ce problème et je voulais la partager. Elle se trouve dans le livre DTrace : http://www.dtracebook.com
Vous voudrez tirer les exemples d'ici : http://www.dtracebook.com/images/dtbook_scripts.tar.gz
Je n'utilise pas d'OS X. J'ai extrait les scripts à dtbook sous mon ~/bin et exécuté le script approprié comme suit :
sudo ~/bin/dtbook/Chap6/soconnect_mac.d Ce qui vous donnera alors tous les processus avec leurs connexions. D'habitude, je mets ça dans grep et chercher des applications spécifiques maintenant.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
