Как wireshark'у сказать, чтобы он смотрел исходящий трафик только от конкретной проги?

Question

[DVoropaev]

Запускаю программу в WindowsXP на виртуалбоксе, который стоит на Debian'е. Акулу запускаю в дебиане. Как прослушать только тот трафик, который генерирует моя программа?

Comments

[Ezhyg]

а wireshark запущен... вне виртуальной машины?

[maksasila]

Программа слушает или обрщается к определённым портам. Вот по ним и стоит смотреть. Например, tcp.port == 80 || tcp.port == 443 для браузера.

Answer 1

[АртемЪ]

Никак, если вы точно не знаете какой именно трафик она генерирует и по каким портам.
Как wireshark будет отличать его от другого трафика?
Слушайте весь, а уж потом разбирайтесь кто его сгенерировал.
Или обеспечьте чтобы с интерфейса шел только трафик нужной программы, остальной режьте фаерволом.

Answer 2

[Андрей]

В текущей версии никак.
1. Есть очень древняя версия с PID Filter
2. Можно отфильтровать по портам, если вы знаете, какие используются.
3. Можно воспользоваться другим инструментом, например, Microsoft Network Monitor.

Answer 3

[CityCat4]

Никак.

Только фильтровать по порту, если используется нестандартный порт. Или искать заголовки в потоке, если это что-то общее типа 80/443