Angesichts der Tatsache, dass Sie Wireshark verwenden, werden Ihre Portnummern nicht automatisch in einen Anwendungsnamen aufgelöst. Daher müssen Sie etwas mehr tun, um die gesuchten Informationen zu verfeinern. Jede Anwendung, die TCP / IP für die Kommunikation über ein Netzwerk verwendet, verwendet Ports, sodass der Netzwerkstapel weiß, wohin Segmente zu liefern sind (ich bezeichne sie gerne als Anwendungsadresse).
Clients, die über einen bestimmten Port eine Verbindung zu einer Serveranwendung herstellen, wird dynamisch eine Portnummer aus einem dynamischen Bereich zugewiesen. Sie müssen also zuerst herausfinden, welche TCP / UDP-Verbindungen Ihre Anwendung geöffnet hat:
netstat -b
In der Befehlszeile erhalten Sie eine Liste der Verbindungen mit dem Namen der ausführbaren Datei, die die Verbindung erstellt hat. Jede ausführbare Datei verfügt über eine oder mehrere Verbindungen, die als 127.0.0.1:xxxxx aufgeführt sind, wobei X die lokale Portnummer für die Verbindung ist.
Jetzt müssen Sie in wireshark festlegen, dass Pakete, die von diesem Port stammen oder für diesen Port bestimmt sind, angezeigt werden sollen, indem Sie einen oder mehrere der folgenden Filter verwenden:
tcp.port == xxxxx
oder udp.port == xxxxx
Fügen Sie or tcp.port == xxxxx
für jede Verbindung, die Sie anzeigen möchten, eine zusätzliche hinzu .
Auf diese Weise können Sie den gesamten Datenverkehr für die Verbindungen sehen, die Ihre Anwendung geöffnet hat. Wireshark enthält nicht nur unformatierte TCP / UDP-Segmente, sondern auch die verschiedenen Protokolle der Anwendungsebene (z. B. HTTP), die diese Portnummern verwendet haben.
Wenn Ihre Anwendung scheinbar nur mit einem Server kommuniziert, können Sie die IP-Adresse dieses Servers verwenden, um nach Folgendem zu filtern:
ip.addr == x.x.x.x
Wenn Sie Process Monitor von Microsoft verwenden , können Sie die Filter so ändern, dass nur die Netzwerkkommunikation von bestimmten Prozessen angezeigt wird. Der Inhalt der Pakete wird nicht angezeigt, es wird jedoch angezeigt, mit welchen Hosts die App kommuniziert.
quelle
Microsoft Network Monitor zeigt Ihnen den Prozess, der für den Verkehrsfluss verantwortlich ist.
quelle
Ich fand Microsoft Message Analyzer sehr nützlich für genau den gleichen Zweck. Es ermöglicht, den Netzwerkverkehr zu erfassen und nach Prozessbaum zu aggregieren.
quelle
Verwenden Sie den System Internals Process Monitor, um die Nummer des Anwendungsprozesses abzurufen und die anderen systeminternen Tools zu überprüfen:
https://docs.microsoft.com/en-us/sysinternals/
Öffne cmd.exe und starte, zeige netstat Kommandozeilenoptionen, netstat /? .
Versuchen Sie nun netstat -bo 1 >> c: /test.log. Auf diese Weise können Sie die Netzwerkverbindungsdaten Ihrer spezifischen Anwendungen in einer ständig aktualisierten Datei suchen.
Denken Sie daran, dass Sie netstat -bo >> c: /test.log daran hindern müssen, in das Protokoll zu schreiben, indem Sie ctl-C in das cmd-Fenster eingeben.
quelle
Ersetzen
My_Application
Sie einfach mit Ihrer AnwendungPNAME
oderPID
Ich teste es nicht unter Windows 7. Aber es funktioniert unter Linux.
quelle