как узнать какие пакеты отправляет программа
Отслеживание отправленных/полученных пакетов в Windows
#1 Italyano
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
уметь отследить работу сети. и какие есть АППАРАТНЫЕ и программные средства для этого?
#2 Котел
Italyano (Mar 10 2010, 13:26) писал:
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
уметь отследить работу сети. и какие есть АППАРАТНЫЕ и программные средства для этого?
Italyano (Mar 10 2010, 13:26) писал:
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
уметь отследить работу сети. и какие есть АППАРАТНЫЕ и программные средства для этого?
Программные средства для подобных изысканий называются «снифферы», но информация, которую они выдают представляют интерес для специалистов и вообще людей, понимающих строение сети. Программ, показывающих в удобной форме информацию вида:
1 пакетик ушел на mail.ru
2 пакетика ушли на bash.org и т.д
попросту нет, хотя некоторые фаерволы (например Agnitum Outpost) показывают активность разного ПО и то, куда это ПО пытается лезть.
Если все еще интересно посмотреть, на что похож твой сетевой трафик, то вот для примера:
CommView
Wireshark
P.S. Данные программы работают в реальном времени и покажут только текущий трафик, а то, куда у тебя уже ушло 40000 пакетов, так и останется непознанным.
#4 GlooM
Italyano (Mar 10 2010, 13:26) писал:
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
Italyano (Mar 10 2010, 13:26) писал:
Вот хочу на примере понять. Я к инету подключён. Вижу отправлено 40000 пакетов, принято 55000 пакетов.
Вопрос, куда было отправлено? Что за пакеты? может это троян что-то отсылает вместе со мной и у меня из-за этого скорость падает?
#6 never mind
Практические приёмы работы в Wireshark
Джулия Эванс, автор материала, перевод которого мы сегодня публикуем, решила рассказать об одном из своих любимых сетевых инструментов, который называется Wireshark. Это — мощная и сложная программа, оснащённая графическим интерфейсом, предназначенная для анализа трафика в компьютерных сетях. Джулия говорит, что на практике пользуется лишь немногими возможностями Wireshark, но они обычно оказываются очень кстати. Здесь она хочет поделиться со всеми желающими рассказом о самых полезных приёмах работы с программой и надеется, что они пригодятся не только ей, но и всем, кому приходится решать сетевые проблемы.
Установка Wireshark
Вот как выглядит интерфейс программы.
На первый взгляд всё это может показаться слишком сложным: длинный список пакетов, таинственное поле для ввода каких-то запросов… Как же работать с Wireshark?
Анализ pcap-файлов
Обычно я использую Wireshark для выяснения причин сетевых неполадок. Последовательность действий, выполняемая в ходе решения подобных задач, выглядит так:
Анализ TCP-соединений
Часто, когда я анализирую в Wireshark некую ситуацию, мне нужно проверить какое-то конкретное TCP-соединение, с которым, по какой-то причине, что-то не так. Благодаря Wireshark можно проанализировать весь жизненный цикл отдельного TCP-соединения и выяснить причины неправильного поведения системы.
Начало анализа TCP-соединения
Выше описана весьма типичная для меня схема работы с Wireshark. Обычно в соединении участвуют клиент и сервер, и что-то идёт не так либо на клиенте, либо на сервере. Это может быть, например, какой-нибудь сбой или ошибка в настройках системы. В результате Wireshark оказывает мне просто бесценную помощь в деле определения виновника проблем, помогая выяснить — клиент это или сервер.
Команда Decode as
Для того чтобы понять, чем именно является конкретный пакет, Wireshark использует номера портов, и обычно этот подход срабатывает. Например, если программа видит некий трафик на порте 80, она решает, что это HTTP-трафик и обычно так оно и есть.
Просмотр содержимого пакетов
В Wireshark имеется просто восхитительный режим просмотра подробных сведений о пакете, с помощью которого можно разобраться в содержимом любого пакета. Возьмём, например, пакет с сообщением client hello из предыдущего примера. Это — первый пакет SSL-соединения, клиент с его помощью как бы говорит: «Привет! Вот он я!».
Wireshark даёт сетевому администратору два невероятно полезных инструмента для исследования содержимого пакетов. Первый — это режим просмотра, в котором можно раскрывать заголовки, имеющиеся у пакета (например — Ethernet-заголовок, IP-заголовок, TCP-заголовок) и просматривать их содержимое.
Анализ заголовков пакета
Второй режим просмотра пакетов — это настоящее чудо. Здесь можно видеть необработанные данные пакета в виде последовательности байтов. И, что особенно приятно, если навести мышь на какой-нибудь байт (например, на рисунке ниже указатель наведён на байт, входящий в tiles.services.mozilla.com ), программа, в строке состояния, сообщит о том, к какому полю относится этот байт (в данном случае это — поле Server Name ), и о кодовом имени, используемом Wireshark для этого поля (в данном случае — ssl.handshake.extensions_server_name )
Анализ необработанных данных пакета
Поиск пакетов
Wireshark поддерживает мощный язык запросов. Это значительно упрощает поиск конкретных пакетов в списках. Обычно я, при работе с программой, использую очень простые запросы. Вот несколько примеров:
Просмотр сведений о продолжительности TCP-соединений
Иногда мне нужно обратить особое внимание на исследование медленных TCP-соединений. Как это сделать, при условии, что в имеющемся у меня файле есть записи о тысячах пакетов? Как найти медленные TCP-соединения?
Обновление Wireshark
Если вы давно не обновляли Wireshark — это стоит сделать. Например, недавно я, на рабочем ноутбуке, занималась исследованием HTTP/2-пакетов. Мне тогда пришлось нелегко, и я решила посмотреть документацию. Как оказалось, у меня была старая версия программы. В установленном мной обновлении была серьёзно улучшена поддержка HTTP/2, то есть, там было как раз то, что мне было тогда нужно.
Использование Wireshark для изучения сетевых протоколов
В этом материале встречаются некоторые термины, которые можно отнести к чему-то вроде жаргона сетевых специалистов. Например — кадр (frame), TCP-порт (TCP port), DNS-ответ (DNS response), IP-адрес источника (source IP address), пакет client hello SSL-соединения (SSL client hello). Одной из причин их использования является тот факт, что Wireshark, определённо, не пытается оградить пользователя от тонкостей внутреннего устройства сетевых технологий. Новичка такое положение дел может, поначалу, заставить задуматься о том, что Wireshark — это программа не для него, а лишь для опытных сетевых специалистов.
Итоги
Wireshark имеет огромнейшие возможности. Здесь мы рассказали лишь о некоторых из них. Однако, те приёмы работы, которые здесь рассмотрены, по словам автора материала, используются примерно в 95% ситуаций, когда возникает необходимость в Wireshark. Поэтому мы надеемся, что даже то немногое, о чём вы сегодня узнали, вам пригодится.
Уважаемые читатели! Пользуетесь ли вы Wireshark?
Wireshark для всех. Лайфхаки на каждый день
Пакет с сертификатами от Хабра
Практические варианты использования
В Wireshark миллион функций, но буквально каждый человек с минимальными знаниями может использовать его с пользой. Ниже примеры основных сетевых задач.
Расшифровка трафика SSL/TLS
Chrome и Firefox могут записывать логи сессионных ключей, которые используются для шифрования трафика SSL/TLS. Наша задача — включить запись этих логов, а потом загрузить их в Wireshark для анализа. Предполагается, что у нас есть физический доступ к компьютеру пользователя, трафик которого мы хотим расшифровать. Или к серверу, который устанавливает зашифрованное соединение с пользователем.
Сначала включаем запись ключей.
Старые билды Windows 10
В старых билдах Windows 10 работает старый метод. Заходим в Панель управления → Система и безопасность → Система. На вкладке «Дополнительные параметры системы» нажимаем кнопку «Переменные среды».
Добавляем для пользователя новую переменную SSLKEYLOGFILE и указываем путь до файла.
В результате получаем логи с ключами, начало файла:
Новые билды Windows 10
В более новых версиях после установки Windows 10 старый способ добавления переменных окружения может больше не работать. Тогда есть альтернативный вариант с помощью команды в оболочке PowerShell.
[Environment]::SetEnvironmentVariable(«PATH», «C:\TestPath», «User»)
Первый параметр — это имя переменной, второй — значение, третий — для какого уровня переменная (пользовательский или системный).
[Environment]::SetEnvironmentVariable(«SSLKEYLOGFILE», «D:\wireshark», «User»)
Linux и Mac OS X
Под Linux и Mac OS X можно использовать такую команду для изменения переменной окружения и ведения логов — с запуском браузера из того же терминального окна, поскольку переменные окружения всегда работают в пределах одной сессии.
После накопления лога запускаем Wireshark.
Заходим в «Параметры», там на вкладке «Протоколы» (Protocols) находим раздел TLS (раньше он назывался SSL) — и указываем путь к файлу с логами и ключом, который использовался в сессии симметричного шифрования: (Pre)-Master-Secret log filename.
Например, при заходе пользователя на сервер Gmail в окне инспектирования пакетов QUIC мы видим обычные пакеты QUIC, зашифрованные ключом TLS.
Но в нижней части экрана появляется новая вкладка Decrypted QUIC, которая показывает расшифрованное содержимое этих пакетов.
Такой метод расшифровки трафика клиента не требует установки Wireshark на его компьютер, достаточно только скачать дамп с ключами, а потом использовать его вместе с дампом трафика.
Примечание. Этот способ не ограничен только HTTP. Точно так же можно перехватывать и расшифровывать трафик SSL/TLS в других потоках. Например, зашифрованный трафик от сервера MySQL.
Анализируем трафик с другого компьютера
Если нужно разобраться с сервером в продакшне, то удобно скопировать оттуда файлы pcap — и проанализировать трафик на личном компьютере.
Записываем пакеты на сервере с помощью сниффера пакетов tcpdump, который входит в стандартный комплект *nix:
Затем копируем файлы к себе на компьютер:
Здесь уже запускаем Wireshark и открываем полученный файл.
Есть вариант отслеживать серверный трафик в реальном времени со своего домашнего/рабочего компьютера. Например, весь трафик, кроме портов 22 и 53:
Примерно то же самое с компьютера под Windows:
Ищем проблемы
Чтобы выделить конкретное TCP-соединение, находим любой интересующий пакет, щёлкаем по нему правой кнопкой мыши — и применяем фильтр диалога.
Теперь из всего записанного трафика остались только пакеты, принадлежащие конкретно этому соединению.
На скриншоте мы видим пакеты с начала установки соединения TLS: пакет с приветствием клиента, ответный пакет с приветствием сервера, предъявленный сертификат, список шифров и так далее. Содержимое каждого пакета можно изучить отдельно. Очень удобно.
Типичный паттерн — использовать Wireshark для диагностики конкретных проблем. Например, в случае разрыва TLS-соединения мы можем зайти и посмотреть, кто его разорвал (клиент или сервер), на каком этапе это произошло и по какой причине.
Содержимое пакетов
Побайтовое содержимое каждого пакета — это настоящая магия. Конкретно эта функциональность Wireshark позволяет выявить самые серьёзные баги. Например, несколько лет назад выяснилось, что гигабитные Ethernet-контроллеры Intel 82574L отключаются, если отправить на них специально сконструированный пакет с определённой последовательностью байтов — так называемый «пакет смерти». Именно благодаря Wireshark выяснилось, какие конкретно байты в пакете приводят к гарантированному отключению сетевой карты.
Вот запись конкретных пакетов: pod-http-post.pcap и pod-icmp-ping.pcap. Можем их скачать, открыть в Wireshark и посмотреть своими глазами.
Отключение сетевого интерфейса Intel происходит, если по адресу 0x47f находится значение 2 или 3, то есть 32 HEX или 33 HEX. Если там 4, то всё нормально.
Для атаки подходил любой пакет: HTTP POST, ICMP echo-request и проч. Например, на веб-сервере можно сконфигурировать ответ 200 таким образом, что «убивает» сетевые интерфейсы на клиентских машинах. Довольно любопытная ситуация.
Поиск пакетов по содержанию
Выше мы применили фильтр диалога, чтобы выдать все пакеты для конкретного TCP-соединения. Однако фильтры можно писать и вручную. Вот некоторые примеры запросов:
Трафик с мобильного телефона
Аналогичным образом можно проанализировать трафик с фитнес-часов по Bluetooth или трафик любого мобильного приложения под Android. Для этого нужно записать пакеты PCAP на мобильном устройстве — и передать их для анализа в Wireshark на рабочем ПК.
Есть несколько мобильных программ для записи PCAP. Например, приложение
PCAPdroid для Android:
PCAPdroid
В принципе, можно не передавать записанные файлы PCAP, а анализировать их прямо на мобильном устройстве. В некоторых мобильных снифферах есть и зачаточные функции анализатора пакетов, см. Packet Capture и Termux (о нём ниже).
Packet Capture
Wireshark имеет и прямой интерфейс Androiddump, чтобы снимать данные с телефона напрямую через Android SDK.
Трафик с телевизора и других бытовых приборов
Чтобы изучить трафик с телевизора, смартфона жены или других бытовых приборов, которые подключены в домашнюю сеть по Ethernet и WiFi, придётся записывать PCAP на маршрутизаторе. Иногда достаточно встроенных инструментов. Если у вас маршрутизатор с прошивкой DD-WRT, то можно прямо на устройстве запустить tcpdump :
Для прошивки OpenWrt есть вариант зеркалировать трафик с помощью iptables-mod-tee.
Можно зеркалировать и записывать трафик с помощью дополнительного физического хаба или врезки в сеть. Подробнее см. в документации.
Другой способ — перехватить беспроводной трафик WiFi с помощью утилиты Airodump-ng без подключения к маршрутизатору. Но это больше подходит для анализа трафика на чужих хотспотах.
Далее всё по накатанной — загружаем файлы в Wireshark, запускаем фильтры.
Кстати, Wireshark поддерживает также анализ трафика USB: встроенный сниффер USBPcap и импорт пакетов из сторонних снифферов, таких как Npcap и RawCap.
Termshark
Если вы анализируете объёмные логи на удалённом сервере, но не хотите копировать всё на свою машину, может пригодиться Termshark — удобный пользовательский интерфейс в консоли для анализатора TShark, по внешнему виду напоминающий Wireshark.
Функции
Вот как выглядит версия под Android:
Wireshark как веб-приложение
Если по каким-то причинам вы не можете запустить Wireshark на локальной машине, можно воспользоваться облачным сервисом CloudShark, который сделан на удивление качественно.
Основная функция — совместная работа и публикация разборов пакетов по URL. Например, cloudshark.org/captures/05aae7c1b941. Файлы загружаются в облако и анализируются в браузере. Это нужно, если вы хотите спросить совета на форуме, поделиться информацией с коллегами или опубликовать разбор пакетов для широкой аудитории. Кстати, удобно использовать с мобильного телефона, ведь под Android есть приложения для захвата пакетов, а вот хорошего анализатора нет.
Сервис платный, есть 30-дневный пробный период.
В общем, Wireshark — просто фантастическая программа на все случаи жизни.
Кроме реальной практической пользы, анализатор даёт примерное представление о том, как работает фильтрация DPI у российских провайдеров. Там всё устроено примерно так же. Система в реальном времени сканирует трафик, фильтрует конкретно пакеты от Twitter — и замедляет их доставку пользователям на территории России. В частности, этим непотребством занимается Роскомнадзор с 10 марта 2021 года.
На правах рекламы
Если для работы необходим сервер в аренду на Linux или Windows, то вам однозначно к нам — активация услуги через минуту после оплаты!
Как определить какие программы используют интернет-трафик на компьютере
Все, у кого есть тариф с ограничениями на объем информации и скорость, когда-нибудь сталкивались с проблемой: скорость Интернета падает куда ниже той, что была заявлена. Возникает справедливый вопрос: как посмотреть, на что тратится интернет-трафик? Эта статья ответит на данный вопрос.
Самые крупные «поедатели» трафика
В норме на компьютерах почти нет никаких «поедателей» трафика, кроме браузеров. В них самое большое количество интернет-трафика потребляют медиафайлы. Это видео, аудиофайлы, а также фотографии. Однако могут быть и другие потребители Интернета. Часто ими оказываются вирусы. Вредоносное ПО проникает на устройство и следит через веб-камеру, сливает данные из компьютера. Это безобразие не проходит без использования Интернета, причем в огромных количествах.
Важно! Если замечено подозрительно большое потребление трафика, лучше обратиться к антивирусу.
Трафик «съедает» еще и всплывающая реклама, особенно, если в нее включено видео. Стоит остерегаться еще и обновлений приложений. Они бывают довольно тяжелыми и часто загружаются не по воле пользователя.
Как проверить расход мегабайтов
Проверить расход мегабайтов за 30 дней можно, если зайти в «Пуск» — «Параметры» — «Сеть и интернет» — «Использование данных». Все данные будут расписаны по приложениям. Эту статистику можно разместить на рабочем столе.
Проверять расход можно точно так же, разместив на рабочем столе таблицу от NetWorx — приложения, о котором речь пойдет ниже. Так как проверить, куда уходит трафик на компьютере, можно гораздо проще без специальной программы, этот вариант подойдет, если приложение и дальше будет использоваться в решении проблемы.
Как проверить, какие программы используют Интернет
Способов, как можно посмотреть, что жрет трафик Интернета, не так много, причем они различаются по версиям Windows.
Как проверить, какие программы пользуются Интернетом на Windows 10
Сделать это можно, открыв командную строку от имени администратора и введя в ней netstat. Командная строка открывается через «Пуск», поиск (написав в поисковой строке cmd), с помощью комбинации «Windows + Х». После этого на мониторе отобразится список соединений с базовой информацией.
Проверка другим, более простым способом — это зайти в «Параметры» — «Сеть и интернет» — «Использование данных». Если следом нажать «Сведения о пользовании», появится окно, в котором будет указано, сколько трафика израсходовала каждая программа за последние 30 дней.
Как узнать, какая программа использует Интернет на Windows 7
Для начала нужно открыть диспетчер задач. Чтобы это сделать, можно либо нажать сочетание клавиш «Ctrl + Alt + Del», либо кликнуть правой клавишей мыши по панели задач (длинная полоса внизу экрана со всеми активными ярлыками) и выбрать «Запустить диспетчер задач».
После того как диспетчер задач открылся, нужно выбрать следующие разделы: «Быстродействие» — «Монитор ресурсов» — «Сеть». Дальше появится поле «Процессы с сетевой активностью». Вот там и нужно смотреть, какие программы используют Интернет.
Как узнать, что потребляет Интернет на компьютере с Windows 8
Только в «Виндовс» 8 достаточно всего лишь ткнуть на любую сеть правой кнопкой мыши в разделе «Сеть» и выбрать функцию «Отображать сведения о предполагаемом использовании данных».
Обратите внимание! Следом высветится информация о количестве потраченного трафика, но не будет расписано, сколько его было потрачено отдельными приложениями.
Как проверить, куда уходит интернет-трафик на компьютере
Не всегда перечисленные выше способы позволяют определить все то, что нужно. Для решения таких проблем были созданы следующие программы:
У каждой есть свои особенности, которых нет у конкурентов.
TCPView
TCPView — это бесплатная простая программа, у которой нет русскоязычного интерфейса. Ее даже не нужно устанавливать, достаточно распаковать архив и запустить. В самом приложении присутствует несколько столбцов:
Обратите внимание! С помощью клика правой кнопки мыши можно оборвать соединение (Close connection), завершить процесс (End process), зайти в настройки процесса. Так, если у процесса обрывается соединение, строка окрашивается в красный, если оно восстанавливается — в зеленый.
NetWorx
В программе можно просмотреть, какое количество информации было получено и отправлено за каждый час, день, месяц, а также можно поставить свой собственный промежуток времени. Это приложение также умеет устанавливать квоту на использование трафика в день, т. е. напоминать пользователю, когда интернет-трафика использовано больше определенного процента от числа, которое можно потратить за день.
Пример: если в день установлено ограничение 500 Мбит, а процент, при котором система отправляет предупреждающее оповещение — 80 %, то, когда будет расходоваться 400 Мбит, NetWorx напомнит пользователю об этом.
Comodo Firewall
Прекрасная бесплатная программа с русскоязычным интерфейсом.
После установки эта программа покажет, какое приложение потребляет больше всего трафика в процентном соотношении. Comodo также может блокировать использующий трафик нежелательный ресурс, требовать перезагрузки после изменений, позволяющих фаерволу работать.
Существует еще функция «Сканирование», способная выдать подробный отчет по файлам, находящимся в системе и можно ли им доверять. Нажав на один из них, появится отчет по отправленной и полученной информации подобно TCPView. А вот «Изолированная среда» позволит бывать в «опасных местах» без последствий для устройства, т. е. приложения не смогут потребить слишком много мегабайт.
Как отключить программы, которые используют Интернет
С помощью вышеперечисленных приложений отключить программы — дело нескольких кликов (кроме NetWorx). Чуть посложнее обстоят дела в том случае, если Comodo Firewall и TCPView не установлены. Здесь вновь пути решения проблемы варьируются от установленной системы.
Windows 10
Первым делом нужно зайти в «Пуск» и найти там «Центр обновлений Windows». Нажав на этот раздел правой кнопкой мыши, нужно открыть свойства, где этот центр выключается. Так отменяются обновления, забирающие огромное количество трафика.
Далее следует зайти в «Параметры» — «Сеть и интернет» и выбрать свою сеть, нажав на «Сведения об использовании». Появится список приложений, расходующих трафик, нажимая на который, можно их остановить.
Обратите внимание! В параметрах также нужно обязательно отключить работу всех приложений в фоновом режиме. Если соблюсти все эти три совета, трафик будет тратиться куда меньше.
Windows 7 и 8
Процедура отключения схожа с 10-й версией «Виндовс», первый шаг одинаков. Второй шаг — нужно отключить фоновую интеллектуальную службу передачи.
Проблема с трафиком — очень серьезная, она может ударить рублем, если не устранить ее вовремя. Благо, при правильном подходе без затруднений исправить ситуацию может кто угодно. Главное — расходовать Интернет с умом, полагаясь лишь на себя.