質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
ソケット

TCP/IPにおいて、IPアドレスとサブアドレスであるポート番号を組み合わせたネットワークアドレスのことを呼びます。また、ソフトウェアアプリケーションにおいて、TCP/IP通信を行う為の仮想的なインターフェースという意味もある。

Windows

Windowsは、マイクロソフト社が開発したオペレーティングシステムです。当初は、MS-DOSに変わるOSとして開発されました。 GUIを採用し、主にインテル系のCPUを搭載したコンピューターで動作します。Windows系OSのシェアは、90%を超えるといわれています。 パソコン用以外に、POSシステムやスマートフォンなどの携帯端末用、サーバ用のOSもあります。

Q&A

解決済

2回答

3386閲覧

windowsでUDP送信をPID付きでキャプチャしたい

退会済みユーザー

退会済みユーザー

総合スコア0

ソケット

TCP/IPにおいて、IPアドレスとサブアドレスであるポート番号を組み合わせたネットワークアドレスのことを呼びます。また、ソフトウェアアプリケーションにおいて、TCP/IP通信を行う為の仮想的なインターフェースという意味もある。

Windows

Windowsは、マイクロソフト社が開発したオペレーティングシステムです。当初は、MS-DOSに変わるOSとして開発されました。 GUIを採用し、主にインテル系のCPUを搭載したコンピューターで動作します。Windows系OSのシェアは、90%を超えるといわれています。 パソコン用以外に、POSシステムやスマートフォンなどの携帯端末用、サーバ用のOSもあります。

0グッド

0クリップ

投稿2016/12/27 07:12

Windowsから送信されるUDP通信をキャプチャしたいと思っています。
この時にどのプログラムから送信されたものかも併せて知りたいと思っています。

具体例を挙げると、DNSの問い合わせがどのプログラムからリクエストされたか、というようなものを調べたいのです。

この場合どのような実現方法がありますか?
もし良い方法がありましたらご教示ください。

調査してみた部分:
・GetExtendedUdpTableではlisten側しか取得できないっぽい
・winpcap等でのキャプチャソフトではパケットしか見られない(PIDが取得できない)

以上、よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

普通のパケットに、PIDまでは乗りません。アプリケーションと紐づくのはポート番号です。

TCPならば、ポート番号→netstat→PID→tasklist→プロセス名と辿ることができます。UDPでもパケットのポート番号が偽装されていないならば可能性はあると思います。

投稿2016/12/27 13:27

HogeAnimalLover

総合スコア4830

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/12/27 13:38

netstatでout側のudpは取れるのでしょうか? tcpのようにセッションで残っている訳ではないので、リッスンポートしか見えないのです。 もしかしたら送信した瞬間にapiを叩けばテーブルが取れるのかもしれませんが、未だ成功した事がありません。
HogeAnimalLover

2016/12/27 14:21

はい。私もそれができるとは思えません。今回のようにDNS問い合わせの例であれば、返事を受け取るためのリッスンポートも開くはずだろうという観点で回答しました。ただし、これが悪意を持ったプログラム(ウイルス含む)の場合は悪意的に偽装されている可能性はあります。
HogeAnimalLover

2016/12/27 14:33

失礼しました。UDPの場合は「リッスンポート」という表現は不適切だったかもしれません。待ち受け状態のもの、と読み替えてください。
退会済みユーザー

退会済みユーザー

2016/12/28 06:04

なるほど出力側のパケットをメモしておいて受け側の方で確認するという事ですね。 それなら確かに取れそうです。 ちょっと試してみます。ありがとうございました。
guest

0

うーん…ProcessMonitorとかに乗ってくるって話があるので、取れないわけじゃあないんだとは思いますよ。
実際OperationをUdpでフィルターかければSend/Receiveで見えるところまでは確認しました。
ちょっと労力かけてどのAPIでどこまで取れるのかとか調べるのは難しいですが…

TCPだろうがUDPだろうが同じような経路でデータを送出した後やり取りが違うだけだろうと思いますから、UDPだけ取れないっていうのは違和感があります。ただ、UDPの利用方法を考えるとわずかな時間で情報が取れなくなる気もしますが…。

パケットはHogeAnimalLoverさんが言うようにPID等は含まれていないので、パケット内容を確認して、気になるポートからPIDを特定するしかないと思います。
それ以外はものすごい本筋じゃないっぽい方法…しかないと思います。
ログ取る方法が紹介されてるのでログ取っといて後から追うとか。

投稿2016/12/28 05:28

haru666

総合スコア1591

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問