在Wireshark中按进程/ PID过滤

Question

有没有办法使用Wireshark根据特定进程ID 过滤/跟踪TCP/SSL流？

Answer 1

如果您正在寻找替代方式,并且您使用的环境是Windows,Microsoft的Network Monitor 3.3是一个不错的选择.它有进程名称列.您可以使用上下文菜单轻松将其添加到过滤器并应用过滤器.通常,GUI非常直观...

Answer 2

我不知道怎么样.PID不会将其带到电线上(一般来说),而Wireshark允许您查看电线上的内容 - 可能是所有通过电线进行通信的机器.无论如何,进程ID在不同的机器上并不是唯一的.

Answer 3

您可以将wireshark中的端口号与netstat中的端口号进行匹配,这将告诉您侦听该端口的进程的PID.

Answer 4

使用Microsoft Message Analyzer v1.4

从字段选择器导航到ProcessId.

Etw
-> EtwProviderMsg
--> EventRecord
---> Header
----> ProcessId

右键单击并添加为列

Answer 5

使用strace比较适合这种情况。

strace -f -e trace=network -s 10000 -p <PID>;

选项：

• -f还可以跟踪所有分叉进程，
• -e trace=network仅过滤网络系统调用，
• 并-s显示最多 10000 个字符的字符串长度。

您还可以跟踪特定的调用，例如发送、接收和读取操作：

strace -f -e trace=send,recv,read -s 10000 -p <PID>;

Answer 6

如果您想跟踪仍然需要启动的应用程序，那么这当然是可能的：

1. 安装docker（参见https://docs.docker.com/engine/installation/linux/docker-ce/ubuntu/）
2. 打开终端并运行一个小容器：（docker run -t -i ubuntu /bin/bash将“ubuntu”更改为您最喜欢的发行版，这不必与您的真实系统中的相同）
3. 使用与在真实系统中安装应用程序相同的方式在容器中安装应用程序。
4. 在您的真实系统中启动wireshark，转到“捕获”>“选项”。在打开的窗口中，您将看到所有界面。不要选择any, wlan0, eth0, ...，而是选择新的虚拟接口docker0。
5. 开始捕捉
6. 在容器中启动您的应用程序

您可能对在容器中运行软件有一些疑问，因此以下是您可能想问的问题的答案：

• 我的应用程序可以在容器内运行吗？几乎可以肯定是的，但是您可能需要了解一些有关 docker 的知识才能使其正常工作
• 我的应用程序运行速度不会很慢吗？微不足道。如果您的程序需要运行一周的大量计算，那么现在可能需要一周零 3 秒
• 如果我的软件或其他东西在容器中损坏怎么办？这就是容器的好处。无论里面运行的是什么，都只会破坏当前容器，而不会伤害系统的其余部分。