Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Netzwerkverkehr einer bestimmten Anwendung aufzeichnen
3 views
Skip to first unread message
Marco Moock
Oct 7, 2023, 3:06:41 AM10/7/23
to
Hallo zusammen!
Ich suche aktuell nach einer Lösung, Netzwerkverkehr einer bestimmten
Applikation aufzuzeichnen und nicht alles vom System.
Was kann man da tun?
--
Gruß
Marco
Ich suche aktuell nach einer Lösung, Netzwerkverkehr einer bestimmten
Applikation aufzuzeichnen und nicht alles vom System.
Was kann man da tun?
--
Gruß
Marco
Tim Ritberg
Oct 7, 2023, 4:36:50 AM10/7/23
to
Am 07.10.23 um 09:06 schrieb Marco Moock:
Hm die Frage ist gut. tcpdump kann nicht auf Prozessen laufen.
Mit iptables könnte man den Traffic umleiten, z.B. auf einen Proxy.
Tim
Mit iptables könnte man den Traffic umleiten, z.B. auf einen Proxy.
Tim
Marco Moock
Oct 7, 2023, 5:26:38 AM10/7/23
to
Am 07.10.2023 um 10:36:48 Uhr schrieb Tim Ritberg:
> Mit iptables könnte man den Traffic umleiten, z.B. auf einen Proxy.
Ungeeignet, weil es um Fehler geht, die ich damit erkennen will (die
> Mit iptables könnte man den Traffic umleiten, z.B. auf einen Proxy.
Applikation ist leider so schrottig, dass sie zwar anzeigt, dass was
nicht funktioniert, aber mehr nicht).
Ein Proxy wird hier eher noch eine zusätzliche Fehlerquelle sein.
Ich will einen reinen Sniffer.
Tim Ritberg
Oct 7, 2023, 7:06:43 AM10/7/23
to
Am 07.10.23 um 11:26 schrieb Marco Moock:
Du kannst an dem Port vom Proxy sniffen.
Tim
Tim
Tim Ritberg
Oct 7, 2023, 7:10:55 AM10/7/23
to
Am 07.10.23 um 11:26 schrieb Marco Moock:
> Ich will einen reinen Sniffer.
Hier sind noch weitere Vorschläge:
https://www.baeldung.com/linux/capture-process-network-traffic
Aber für Linux scheint es keinen Netzwerksniffer mit Prozess-Capture zu
gehen.
Etwas ähnliches wird im o. g. Link mit strace gezeigt.
Tim
Christian Weisgerber
Oct 7, 2023, 7:30:06 AM10/7/23
to
On 2023-10-07, Marco Moock <mm+use...@dorfdsl.de> wrote:
> Ich suche aktuell nach einer Lösung, Netzwerkverkehr einer bestimmten
> Applikation aufzuzeichnen und nicht alles vom System.
>
> Was kann man da tun?
- ktrace(1)
> Ich suche aktuell nach einer Lösung, Netzwerkverkehr einer bestimmten
> Applikation aufzuzeichnen und nicht alles vom System.
>
> Was kann man da tun?
- Applikation unter eigener UID laufen lassen und dann mit pf(4)
den TCP/UDP-Verkehr dieser UID loggen.
--
Christian "naddy" Weisgerber na...@mips.inka.de
Kay Martinen
Oct 7, 2023, 9:30:03 AM10/7/23
to
Am 07.10.23 um 09:06 schrieb Marco Moock:
Anwendung öffnet und könntest dann mit Wireshark nur diese anzeigen/und
protokollieren lassen.
Ein 'netstat -l' zeigt dir zumindest auf dem Zielhost die Lauschenden
Ports an. Wenn deine Anwendung selbst Serverdienste öffnet dann hast
du's. Wenn sie nur ausgehend arbeitet kannst du entweder auf dem
quellhost suchen z.b. mit 'fuser' oder auf dem zielhost tracken.
Bye/
/Kay
--
"Kann ein Wurstbrot die Welt retten?" :-)
Marco Moock
Oct 7, 2023, 10:34:52 AM10/7/23
to
Am 07.10.2023 um 15:24:09 Uhr schrieb Kay Martinen:
> Ich meine du müßtest nur raus finden welche Quell- oder Ziel-Ports
> die Anwendung öffnet und könntest dann mit Wireshark nur diese
> anzeigen/und protokollieren lassen.
Für den aktuellen Fall wäre das noch halbwegs eine Option, aber was
> Ich meine du müßtest nur raus finden welche Quell- oder Ziel-Ports
> die Anwendung öffnet und könntest dann mit Wireshark nur diese
> anzeigen/und protokollieren lassen.
ist, wenn man das nicht weiß, z.B. weil man prüfen, will, ob das Teil
nachhausetelefoniert?
Kay Martinen
Oct 7, 2023, 11:40:02 AM10/7/23
to
Am 07.10.23 um 16:34 schrieb Marco Moock:
Du kannst doch in Wireshark wohl erst mal allen vom Host ausgehenden
Verkehr (ohne localhost) anzeigen lassen und dann Stück für Stück
nachschärfen. Z.b. dhcp oder arp ausklammern und weiteres je nach dem
was für eine Anwendung es ist. Kann ja auch sein das die auf die Nase
fällt weil sie nicht die erwarteten dns antworten bekommt oder selbst
hosts an pingt und kein ICMP-Echo erhielte. Oder sie will nach hause
telefonieren und deine Firewall blockt das, also bockt sie...
Du hast leider nichts dazu gesagt um welche Anwendung (Typ, name,
funktion) es konkret geht oder allgemein gehen könnte.
"was mit netzwerk" ist ein bisschen vage... Das könnte alles sein,
Webbrowser, mailclient, Webserver, visual traceroute oder
weiß-der-geier-was.
Verkehr (ohne localhost) anzeigen lassen und dann Stück für Stück
nachschärfen. Z.b. dhcp oder arp ausklammern und weiteres je nach dem
was für eine Anwendung es ist. Kann ja auch sein das die auf die Nase
fällt weil sie nicht die erwarteten dns antworten bekommt oder selbst
hosts an pingt und kein ICMP-Echo erhielte. Oder sie will nach hause
telefonieren und deine Firewall blockt das, also bockt sie...
Du hast leider nichts dazu gesagt um welche Anwendung (Typ, name,
funktion) es konkret geht oder allgemein gehen könnte.
"was mit netzwerk" ist ein bisschen vage... Das könnte alles sein,
Webbrowser, mailclient, Webserver, visual traceroute oder
weiß-der-geier-was.
Alexander Schreiber
Oct 7, 2023, 4:08:05 PM10/7/23
to
werkverkehr produziert (also auch kein ntpd usw) und sammel per tcpdump
einmal alles ein um allfällige sonstige Netzwerkverkehrsproduzenten zu
finden und stillzulegen (auf -n achten sonst produziert tcpdump selber
DNS-Verkehr). Dann halt tcpdump anwerfen mit "alles einsammeln" und die
Anwendung laufen lassen.
Ist bisserl die Holzhammermethode, sollte aber noch am Einfachsten sein.
Man liest sich,
Alex.
--
"Opportunity is missed by most people because it is dressed in overalls and
looks like work." -- Thomas A. Edison
Michael van Elst
Oct 8, 2023, 2:46:04 AM10/8/23
to
Andreas Kohlbach <a...@spamfence.net> writes:
>Statt VM fällt mir "anderer User" ein. Sollte es nicht Tools geben, die
>nur Daten eines bestimmten Users filtern?
>Laut man Page von tcpdump kennt es beispielsweise "-Z user".
Das ist zum Wechseln auf einen anderen nicht-priviligierten User
statt des Defaults.
Netzwerk-Traffic kann man allgemein nicht einem bestimmten User
oder Programm zuordnen. Für viele Zwecke reicht es aber einen
bestimmten TCP oder UDP-Port zu filtern.
Linux iptables kann Pakete über das 'owner'-Modul nach uid oder gid
filtern. Das funktioniert natürlich nur, wenn Daten über Sockets
verschickt werden und der Socket der jeweiligen uid oder gid gehört.
Mittelbarer Traffic (z.B. NFS) kann damit nicht zugeordnet werden.
Interessant ist auch das 'cgroup'-Modul. Wenn man die Anwendung und
ihre Prozesse in eine eigene cgroup steckt, kann man den Traffic
isoliert betrachten.
>Statt VM fällt mir "anderer User" ein. Sollte es nicht Tools geben, die
>nur Daten eines bestimmten Users filtern?
>Laut man Page von tcpdump kennt es beispielsweise "-Z user".
Das ist zum Wechseln auf einen anderen nicht-priviligierten User
statt des Defaults.
Netzwerk-Traffic kann man allgemein nicht einem bestimmten User
oder Programm zuordnen. Für viele Zwecke reicht es aber einen
bestimmten TCP oder UDP-Port zu filtern.
Linux iptables kann Pakete über das 'owner'-Modul nach uid oder gid
filtern. Das funktioniert natürlich nur, wenn Daten über Sockets
verschickt werden und der Socket der jeweiligen uid oder gid gehört.
Mittelbarer Traffic (z.B. NFS) kann damit nicht zugeordnet werden.
Interessant ist auch das 'cgroup'-Modul. Wenn man die Anwendung und
ihre Prozesse in eine eigene cgroup steckt, kann man den Traffic
isoliert betrachten.
Marco Moock
Oct 8, 2023, 3:18:57 AM10/8/23
to
Am 08.10.2023 um 06:43:00 Uhr schrieb Michael van Elst:
> Netzwerk-Traffic kann man allgemein nicht einem bestimmten User
> oder Programm zuordnen. Für viele Zwecke reicht es aber einen
> bestimmten TCP oder UDP-Port zu filtern.
ss -p kann das sehr wohl. Jetzt bräuchte man da nur noch einen Trigger,
> Netzwerk-Traffic kann man allgemein nicht einem bestimmten User
> oder Programm zuordnen. Für viele Zwecke reicht es aber einen
> bestimmten TCP oder UDP-Port zu filtern.
der dann die Filter für den Sniffer dynamisch anpasst, aber bevor der
Socket geöffnet wird.
Marc Haber
Oct 8, 2023, 4:14:47 AM10/8/23
to
Alexander Schreiber <a...@usenet.thangorodrim.de> wrote:
>Marco Moock <mm+use...@dorfdsl.de> wrote:
>> Hallo zusammen!
>> Ich suche aktuell nach einer Lösung, Netzwerkverkehr einer bestimmten
>> Applikation aufzuzeichnen und nicht alles vom System.
>>
>> Was kann man da tun?
>
>Pack das in eine VM in der ansonsten nichts weiter läuft was Netz-
>werkverkehr produziert (also auch kein ntpd usw) und sammel per tcpdump
>einmal alles ein um allfällige sonstige Netzwerkverkehrsproduzenten zu
>finden und stillzulegen (auf -n achten sonst produziert tcpdump selber
>DNS-Verkehr). Dann halt tcpdump anwerfen mit "alles einsammeln" und die
>Anwendung laufen lassen.
Für den Hausgebrauch könnte es auch reichen, die Anwendung zu stracen.
>Marco Moock <mm+use...@dorfdsl.de> wrote:
>> Hallo zusammen!
>> Ich suche aktuell nach einer Lösung, Netzwerkverkehr einer bestimmten
>> Applikation aufzuzeichnen und nicht alles vom System.
>>
>> Was kann man da tun?
>
>Pack das in eine VM in der ansonsten nichts weiter läuft was Netz-
>werkverkehr produziert (also auch kein ntpd usw) und sammel per tcpdump
>einmal alles ein um allfällige sonstige Netzwerkverkehrsproduzenten zu
>finden und stillzulegen (auf -n achten sonst produziert tcpdump selber
>DNS-Verkehr). Dann halt tcpdump anwerfen mit "alles einsammeln" und die
>Anwendung laufen lassen.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Tim Ritberg
Oct 8, 2023, 4:40:37 AM10/8/23
to
Am 08.10.23 um 09:18 schrieb Marco Moock:
iptables auch.
Tim
Tim
Friedemann Stoyan
Oct 8, 2023, 4:47:33 AM10/8/23
to
Marc Haber wrote:
> Für den Hausgebrauch könnte es auch reichen, die Anwendung zu stracen.
Ich fände es ein cooles Feature, wenn systemd access-lists [1] den Traffic
> Für den Hausgebrauch könnte es auch reichen, die Anwendung zu stracen.
nicht nur denien, sondern auch tracen oder in ein pcap leiten könnten.
[1]: https://0pointer.net/blog/ip-accounting-and-access-lists-with-systemd.html
Seltsam, dass das noch niemand wollte.
mfg Friedemann
Stefan Möding
Oct 8, 2023, 5:31:26 AM10/8/23
to
Vorsicht, keine schlafenden Hunde wecken. Sonst kommt bald:
SYSTEMD-NETSNIFFD(8) System Manager's Manual SYSTEMD-NETSNIFFD(8)
NAME
systemd-netsniffd - capture network traffic for later analysis
SYNOPSIS
systemd-netsniffd
/lib/systemd/systemd-netsniffd
DESCRIPTION
systemd-netsniffd is a system service that captures network traffic
and saves it in a new binary format for later analysis. Every
effort has been made to ensure that this format is incompatible to
the format used by tcpdump(8) or wireshark(8).
...
--
Stefan
SYSTEMD-NETSNIFFD(8) System Manager's Manual SYSTEMD-NETSNIFFD(8)
NAME
systemd-netsniffd - capture network traffic for later analysis
SYNOPSIS
systemd-netsniffd
/lib/systemd/systemd-netsniffd
DESCRIPTION
systemd-netsniffd is a system service that captures network traffic
and saves it in a new binary format for later analysis. Every
effort has been made to ensure that this format is incompatible to
the format used by tcpdump(8) or wireshark(8).
...
--
Stefan
0 new messages