ฉันกำลังมองหาวิธีที่จะถ่ายโอนข้อมูลเครือข่าย pcap ที่สร้างโดยแอปพลิเคชั่นในแบบที่คล้ายคลึงกันจะstraceทิ้ง syscalls เป็นต้นเช่น:
net-strace somecommand -args
somecommandจะทำอะไรบางอย่างผ่านเครือข่ายและnet-straceจะบันทึก pcap การถ่ายโอนข้อมูลทั้งหมดที่สร้างขึ้นโดยแอปนั้น
สามารถทำได้หรือไม่
ปัญหาคือแอปพลิเคชันไม่ส่งแพ็กเก็ต (ยกเว้นที่ใช้ซ็อกเก็ตดิบเช่น ping) แต่ใช้เครือข่าย API ที่ทำให้เคอร์เนลส่งแพ็กเก็ต (และรับที่เกี่ยวข้อง) ในนามของพวกเขา
—
Stéphane Chazelas
ใช่ แต่มีแอปพลิเคชั่น (เช่น proxychains - proxychains.sourceforge.net ) ซึ่งเรียกใช้ข้อมูลแอปพลิเคชันทั้งหมดผ่านพร็อกซี ไม่ทราบว่าพวกเขาทำได้อย่างไร แต่พวกเขาสามารถจับภาพและส่งผ่านพร็อกซี บางทีถ้ามีพร็อกซีแบบธรรมดา (รันในเครื่อง) ซึ่งสามารถถ่ายโอน pcap, คำสั่งผสมพร็อกซี + พร็อกซีสามารถใช้สำหรับการรับดัมพ์
—
gesti
พวกเขากำลังแย่งชิง API (ด้วย LD_PRELOAD) มากกว่าแพ็คเก็ต ต้องบอกว่าอย่างใดอย่างหนึ่งอาจจะสามารถฉีด setockopt (SO_mark) บางส่วนลงในแอปพลิเคชันและใช้ netfilter เพื่อบันทึกแพ็กเก็ตไปยัง ulog
—
Stéphane Chazelas
สร้างเนมสเปซเครือข่ายใหม่สำหรับแอปพลิเคชันและรับปริมาณข้อมูลทั้งหมดในอาจมีวิธีการที่ยอมรับได้สำหรับบางกรณีการใช้งานเช่นกัน
—
Stéphane Chazelas