有没有办法将数据包与执行二进制文件关联? 我会开放传统的嗅探方法,甚至对这个问题的dtrace 。
对于stream量非常高的系统,我有一个特定的问题。 嗅探“所有”数据包并对它们进行过滤正成为一个非常繁琐的问题,并且消除所有数据包的发射,但是在这种情况下不可能发生。
您没有提到您在系统上运行的操作系统,但是如果它运行的是Windows,则可以使用Microsoftnetworking监视器,该networking监视器显示每个“对话”的进程ID,以便您可以专注于分析。 每个进程ID的“过滤”stream量非常简单,只需在左侧窗格中select进程并在右侧窗格中查看stream量即可。
不知道这是你所需要的,但netstat可以帮助你将进程ID与networking端口相关联。 在wireshark中,您可以过滤该端口号,只嗅探特定进程ID的数据包。
在Windows上有一个实验性的构build,如邮件列表所述: http : //www.wireshark.org/lists/wireshark-dev/201212/msg00069.html
最近我遇到了这个问题的一个非常好的解决scheme,并希望分享。 它可以在DTrace Book中find: http : //www.dtracebook.com
你会想从这里拉下例子: http : //www.dtracebook.com/images/dtbook_scripts.tar.gz
我没有运行OS X.我将脚本提取到我的~/bin下的dtbook ,并执行相应的脚本,如下所示:
sudo ~/bin/dtbook/Chap6/soconnect_mac.d
然后,这将给你所有的过程与他们的连接。 我通常将其转换成grep然后专门search应用程序。