我不确定这类问题在这里是否合适,如果我错了,请原谅我.
这是一个问题:
我想看看特定程序发送到互联网的内容,但问题是计算机上有很多使用互联网的应用程序和服务.
因此,无法确定我感兴趣的应用程序发送的数据包.
那么有没有办法隔离特定的应用程序?
我正在使用windows7并使用wireshark捕获数据包
鉴于您使用的是Wireshark,您的端口号不会自动解析为应用程序名称,因此您需要做更多的工作来优化您要查找的信息.每个使用TCP / IP通过网络进行通信的应用程序都将使用端口,以便网络堆栈知道将段传送到哪里(我喜欢将其称为应用程序地址).
连接到特定端口上的服务器应用程序的客户端将动态分配动态范围中的端口号.因此,您首先需要找出应用程序打开的TCP / UDP连接:
netstat -b
在命令行中,将为您提供一个连接列表,其中包含创建连接的可执行文件的名称.每个可执行文件都有一个或多个连接,列为127.0.0.1:xxxxx,其中X是连接的本地端口号.
现在在wireshark中,您需要通过使用以下一个或多个过滤器来告诉它显示源自或发往该端口的数据包:
tcp.port == xxxxx或udp.port == xxxxx
为要显示的每个连接添加一个或tcp.port == xxxxx.
这将允许您查看应用程序已打开的连接的所有流量,而Wireshark将不仅包括原始TCP / UDP段,但它将包括使用这些端口号的各种应用层协议(例如HTTP).
如果您的应用程序似乎只与一台服务器通信,您可以使用该服务器的IP地址进行筛选:
ip.addr == x.x.x.x