Come funziona WireShark su OS X? Con quali processi interagisce?

1

Sto cercando una ricerca approfondita / dettagliata su come funziona lo stack MacOS TCP. Vale a dire, quali sono i file / librerie dinamiche che offrono questo servizio?

Quali librerie interagisce con WireShark?

Il mio obiettivo è tracciare una catena logica di driver, processi e configurazioni che consenta il funzionamento di una connessione TCP.

Esaminerò la versione dei file, le loro impostazioni predefinite corrispondenti e qualsiasi altra cosa che possa influenzare il loro comportamento.

Il mio obiettivo è diagnosticare il problema descritto in questa domanda.

    
posta random65537 05.10.2016 - 20:24
fonte

1 risposta

1

Wireshark utilizza i dispositivi / dev / bpf *.

Da Wireshark installa readme.txt (che descrive le modifiche del sistema):

/Library/LaunchDaemons/org.wireshark.ChmodBPF.plist. A launch daemon that adjusts permissions on the system's packet capture devices (/dev/bpf*) when the system starts up.

I dispositivi bpfx sono meccanismi progettati per ispezionare il traffico di rete (vale a dire esattamente il caso d'uso per WireShark).

O come man bpf dice:

The Berkeley Packet Filter provides a raw interface to data link layers in a protocol independent fashion. All packets on the network, even those destined for other hosts, are accessible through this mechanism.

The packet filter appears as a character special device, /dev/bpf. After opening the device, the file descriptor must be bound to a specific network interface with the BIOCSETIF ioctl. A given interface can be shared by multiple listeners, and the filter underlying each descriptor will see an identical packet stream.

    
risposta data 06.10.2016 - 10:53
fonte

Leggi altre domande sui tag