meghatarozott bin.-ra sniff

Ethereal-t ajanlom.

Viszont arra figyelj, hogy ez a mar megtortent halozati aktivitast mutatja, logolja. A rengeteg rogzitett forgalombol utolag ki lehet valogatni tetszoleges binarist (ha jol gondolom)...

[quote:160464ca9f="Bali"]koszi az otleteket!
iptables ownerrel megfelel, remek lesz :)

mar amennyiben nem fagy darabokra :twisted:
legalabbis ne a cmdline/pid matchelest hasznald (2.6.13 vagy 14-ben ha jol tudom ki is dobtak eleg durva locking problema miatt), hanem külön userrel és uid-re matcheltesd.

[quote:0f935ed93c="Bali"]hali!

az lenne a kerdesem, hogy hogyan tudom megnezni akarmilyen program halozati aktivitasat. tehat egesz pontosan ha egy akarmilyen binarisra vagyok kivancsi, hogy mikor, mennyi, milyen protokollu, melyik porton milyen csomagokat kuldozget, akkor mit erdemes hasznalnom ennek megfigyelesere?
msot jo hogy megoldom ugy, hogy szetsniffelek minden csomagot, aztan manual valogatok, aztan erositem a szabalyokat, de pont ezt akarnam elkerulni. azaz kb vmi olyan kene, mintha monjduk egy akarmelyik snifferben lenne egy olyan kapcsolo, amivel egy adott binaris altal letrehozott kapcsolatokra tudnam szukiteni a kort.

hááát... többféleképpen is lehetne...
- időközönként nézed mondjuk az lsof vagy fuser kimenetét
- _esetleg_ strace-eled
a legjobb megoldás - amennyiben tudsz+akarsz programozni egy sort - valószínűleg egy libipq(3) + iptables "owner" modul + iptables QUEUE variáció.
a snort(8) pl ezt (is) használja.
az iptablessel belövöd, hogy tegye egy userspace queueba az összes - a program által generált - csomagot, majd a libipq-val megnézed kell e, jó e....
ellenben amennyiben csak nézegelődni akarsz - újra átolvasva a kérdésedet asszem erről van szó -, akkor egyszerűen az iptables owner moduljával mondjuk ULOG-gal elloggolod a témát, ULOGD-vel pedig realtime pcap csomagot kreálsz belőle, amit - ha jól emlékszem - szintén realtime tudsz a tcpdump-pal nézni.
biztos lehet egyszerűbben is, de utánanézés nélkül nekem ezek jutottak eszembe.
sok sikert.