Monitoruj ruch sieciowy dla określonego programu komputerowego

1

Szukam sposobu monitorowania ruchu w sieci dla konkretnego programu uruchomionego na moim komputerze. Program działa jako usługa w systemie Windows 10 Pro x64 i interesuje mnie przesyłanie i przesyłanie pakietów danych. Jak mogłem to zrobić? Słyszałem o narzędziach takich jak WireShark, ale nie wiem, czy jest w stanie robić to, co próbuję zrobić.

networking DavidB
źródło
1
Wireshark pokaże ci cały ruch wychodzący z twojego interfejsu sieciowego, ale nie może filtrować na ProcessId, więc musisz dowiedzieć się, które porty te procesy używają i filtrować, aby je wyświetlać. Na ten wątek w SO, Monitor sieci Microsoft lub Analizator sieci może być lepszym rozwiązaniem do śledzenia określonych połączeń procesów: stackoverflow.com/questions/1339691/…
Frank Thomas
@FrankThomas Próbuję teraz Monitora sieci Microsoft, ale z jakiegoś powodu lista „Rozmowy sieciowe” nie pokazuje w nim usługi.
DavidB
Czy używasz narzędzia jako Administrator? Jest całkiem możliwe, że MS filtruje dane, zanim je zobaczymy, aby ukryć telemetrię.
Frank Thomas
@ FrankThomas Nie sądziłem, że tego spróbuję, ale na pewno tak.
DavidB
Czy próbowałeś filtrów konwersacji Conversation.ProcessName == "System"? Niestety wiele usług używa rundll32 zamiast dyskretnego pliku wykonywalnego i wygląda na to, że nie można filtrować na PID. wciąż możesz znaleźć sposoby na odfiltrowanie niektórych szumów.
Frank Thomas

Odpowiedzi:

0

WireShark to dokładne narzędzie, którego potrzebujesz. Możesz filtrować i przeglądać te pakiety, a nawet przekompilować całe dane z pakietów. - Oficjalny przewodnik WireShark Spróbuj użyć monitora zasobów. Możesz go otworzyć z menedżera zadań & gt; Plik & gt; Nowe zadanie & gt; resmon za ile wysłanych bajtów.

rkc
źródło
Jak jednak mogę użyć WireShark do konkretnego programu? Z pewnością istnieje sposób na filtrowanie informacji w jakiś sposób, nawet jeśli nie jest to identyfikator procesu.
DavidB
Najlepszym podejściem w Wireshark jest filtrowanie przez port, ale to oznacza, że ​​musisz wcześniej zidentyfikować wszystkie porty, których proces używa, co może być trudne, jeśli ustanowi wiele połączeń, które istnieją tylko przez ograniczony czas. Być może najlepszym rozwiązaniem będzie użycie widoku Sysinternals TCP przefiltrowanego przez aplikację, aby można było określić, kiedy nowe porty biorą udział w połączeniu.
Frank Thomas