私はsniffex.cを出発点として使用し、パケットスニファを希望どおりに機能させるために数か月を費やしました。これは、ネットワーク上の各コンピューターに出入りするトラフィックフローの概要を提供するための優れたツールですが、インバウンドトラフィックが発生した場所についてもう少し情報が必要だと思います。サンプルのインバウンドパケットのsrc_ipでwhoisを実行すると、ほとんどの場合、Qwest Communications Company、LLCまたはAKAMAI TECHNOLOGIES INCのいずれかが所有するホストに関する情報を取得しますが、実際には興味のある情報は提供されません。 。
この時点で、youtubeやespnなどのデータがどこから来たのかを追跡することに興味があります...これはどのように行うことができますか?
逆引きDNSルックアップは私が探しているもののように聞こえますが、適切なデータのチャンクを受け取ったsrc_ipを取得し、それをオンラインの逆引きDNS検索フォームの1つに入れると、qwestが所有しているだけです。
編集#1:
さて、以下のガイ・ハリスの答えのおかげで、私はこの質問をする方法についてより良い考えを持っています。彼が述べたように、各パケット内のASCIIデータには「Host:」行が必要です。これにより、このデータのソースがより高いレベルにあるかについてのより直接的な情報が得られます。では、どうすればそのデータにアクセスできますか?ASCIIテキストを解析することが最善のアプローチですか、それともこのデータを取得するための既存の関数がありますか?
編集#2:
ペイロードまたはヘッダーASCIIのいずれかを解析することは行き止まりのようです。非常に便利なlibpcapアプリケーションのソースをここで見つけました。このプログラムは、上記のすべてをログファイルに出力します。このデータを見ると、「Host:」フィールドを持つパケットはほとんどないことがわかります。明らかに、TCPポートは80パケットのみであり、次に一連の最初のパケットのみです。それでも、このホストフィールドを持つものだけが、ネットワーク上のボックスの1つでWebサーバーによって提供されていることがわかりました。
では、多くの異なるWebサイトのコンテンツが単一のホストにキャッシュされる可能性があるため、私が求めていることは完全に理解できないのでしょうか。