Find outr which IPs пахал from program and which IPs пашите from addons
I have в program (that legitimately calls authors) and plug-ins that also call authors (not so legitimately). I want to run the vanilla версия of в program and collect IPs it is trying to connect. Should be between 100 and 1000 IPs.
Then I want to add one plug-in at в time to find the spy Checking where it calls and blocking access by iptables. What would be the easiest way to do it? Wireshark+IPtables?
GUI is preferred, but not required, эксперт long схвати I dont have to add 1000 ips to iptables by hand. This is в game with add-ons runing under vmplayer Windows guest.
Thanks in advance,
1 ответ
Два способа сделать это приходят на ум:
- Запущенный приложение под управлением
strace, который регистрирует все системные вызовы, включая попытки соединиться.
Скажем, Вы хотите выполнить firefox и видеть то, с чем это соединяется:
# Start the process under the control of strace, logging only network-related calls:
strace -e trace=network -o network_calls -f firefox
# After finishing working with firefox, print the IPs it tried to communicate with:
grep -o -P '(\d+\.){3}\d+' network_calls | sort -u
Это может быть задано сценарием, чтобы strace работал постоянно и периодически поворачиваемый файл журнала, и т.д. но метод ниже более подходит, если требуется оставить приложение, работающее в течение более длительного времени и избежать необходимости писать сценарии.
- Запущенный приложение как другой пользователь и добавляет, что iptables постановляет что соответствие на основе владельца процесса UID и действие соответственно.
Пример, отбрасывающий сетевой трафик пользователя с UID 5555:
iptables -A OUTPUT -m owner --uid-owner 5555 -j DROP
Вы могли заменить ОТБРАСЫВАНИЕ ЖУРНАЛОМ, сделать то, чего Вы желаете, такие как соединения дросселя, выберите порты, которые Вы хотите отклонить, и т.д.
Добавляют комментарий, если Вы хотели бы, чтобы я подробно остановился на определенном подходе, и я должен быть в состоянии обновить свой ответ.