Форум: "Сети";
Текущий архив: 2012.01.08;
Скачать: [xml.tar.bz2];
ВнизКакой процесс слушает сокет? Найти похожие ветки
← →
BreakPoint © (2009-08-03 16:12) [0]Есть IP адресс и порт. Надо определить какой процесс слушает этот порт. Фактически это надо для мониторинга трафика, надо узнать какой пакет идет к какому приложению (как в HttpAnalyzer). Есть идея через GetExtendedTcpTable, но это както некрасиво, может в АПИ есть функции которые позволяют эту задачу напрямую решить?
← →
Сергей М. © (2009-08-03 17:06) [1]
> в АПИ есть функции которые позволяют эту задачу напрямую
> решить?
GetExtendedTcpTable - это тоже API-функция.
Какую еще "прямую" функцию ты хотел увидеть ? Чем эта крива и некрасива ?
← →
BreakPoint © (2009-08-03 17:28) [2]Тем, что для каждого пакета выдергивать всю таблицу искать в ней IP не есть рационально.
← →
Сергей М. © (2009-08-04 10:35) [3]
> для каждого пакета
Про какие пекты идет речь ?
> выдергивать всю таблицу
Не надо ничего "выдергивать"
см. AllocateAndGetTcp/UdpExTableFromStack
← →
BreakPoint © (2009-08-04 11:33) [4]> см. AllocateAndGetTcp/UdpExTableFromStack
Курим МСДН:
The GetTcpTable or GetExtendedTcpTable functions should be used to retrieve the TCP connection table instead of using the AllocateAndGetTcpExTableFromStack function.
> Не надо ничего "выдергивать"
The AllocateAndGetTcpExTableFromStack function retrieves the TCP connection table... - что это как не выдергивание всей таблицы?
← →
Сергей М. © (2009-08-04 12:40) [5]
> BreakPoint © (04.08.09 11:33) [4]
http://www.xakep.ru/magazine/xa/098/122/1.asp
А ты о каких пакетах ведешь речь ?
← →
BreakPoint © (2009-08-04 13:17) [6]о сырых
статейка устарела, курите МСДН
← →
Сергей М. © (2009-08-04 13:35) [7]
> о сырых
Т.е. ты нюхаешь сет.интерфейсы на предмет прохождения через них IP-дейтаграмм, относящихся к TCP/UDP-сервисам, и для каждой из них желаешь получать инф-цию о локальном процессе, пославшем/принявшем эту дейтаграмму, при этом не желая всякий раз запрашивать снапшоты TCP/UDP-таблиц, так ? Я правильно понял ?
← →
BreakPoint © (2009-08-04 13:50) [8]да
← →
Сергей М. © (2009-08-04 14:02) [9]Ну и зачем при этом всякий раз запрашивать снапшот ?
Любой приличное ПО, реализующее подобную функциональность, как правило включает в себя т.е. connection tracking.
Суть этого механизма, касаемая твоей задачи, такова: запрос снапшота требуется лишь для пакетов со статусом соединения new, related и invalid, для пакетов же со статусом соединения established информация о процессе уже доступна, поскольку ранее этот процесс передавал или принимал пакет со статусом соединения new, т.е. ты уже запрашивал ранее снапшот и ничего нового ты в очередном снапшоте не увидишь вполоть до завершения соединения.
Кури коннекшн-трекинг технологию)
← →
BreakPoint © (2009-08-04 14:57) [10]Буду весьма признателен, если вы укажете по какому смещению в сыром пакете находится указанная вами информация. С особым нетерпением жду информации об UDP ))
← →
Сергей М. © (2009-08-04 15:19) [11]
> по какому смещению
Ни по какому.
В традиционных CTS принято считать, что UDP-соединение установлено (т.е. ему присваивается статус established) если обнаружена пара следующих друг за другом пакетов :
SRC DST
адрес1:порт1 -> адрес2:порт2
адрес2:порт2 -> адрес1:порт1
← →
Rouse_ © (2009-08-04 15:27) [12]Вот тут я года три назад чего-то ваял, можешь посмотреть принцип: http://rouse.front.ru/trafficinspector.zip
← →
Сергей М. © (2009-08-04 15:37) [13]
> Rouse_ © (04.08.09 15:27) [12]
Ты предлагаешь ему то что ему как раз не нужно - при получении каждого пакета всякий раз запрашивать снапшот)
← →
Rouse_ © (2009-08-04 15:54) [14]Ну тут принцип сам, код сам видишь не причесанный ни разу, собран из нескольких разных демок буквально на коленке :)
← →
BreakPoint © (2009-08-04 16:02) [15]
> Ни по какому.
)) Это и так ясно.
> если обнаружена пара следующих друг за другом пакетов :
а кто гарантирует, что эти пакеты придут друг за другом? следовательно нужны дополнительные правила, в итоге этих правил окажется столько, что GetExtendedTcpTable медом покажется.
← →
Сергей М. © (2009-08-04 16:03) [16]
> Ну тут принцип сам
Да принцип-то этот и автору понятен)
Он ДРГОЕ хочет: не лазить всякий раз за снапшотом, но при этом иметь оперативную инф-цию о локальном процессе-владельце порта, фигурирующего в качве источника или приемника в IP-дейтаграмме, которую он унюхал ро-сокетом)
← →
Сергей М. © (2009-08-04 16:07) [17]
> кто гарантирует, что эти пакеты придут друг за другом?
А где это видано, чтобы в каком-либо диалоге ответ следовал раньше вопроса ?)
> нужны дополнительные правила, в итоге этих правил окажется
> столько, что GetExtendedTcpTable медом покажется
Приличные файрволы с CTS-функциональностью их как раз и реализуют) .. И ничего - работают и каши не просят)
Страницы: 1 вся ветка
Форум: "Сети";
Текущий архив: 2012.01.08;
Скачать: [xml.tar.bz2];
Память: 0.49 MB
Время: 0.003 c