Анализът на мрежовия трафик се превръща в една от най -често срещаните и необходими административни задачи, независимо от типа организация, тъй като лошата TCP конфигурация ще доведе до грешки при свързване и управление на всички мрежови пакети.
Протоколът TCP (Transmission-Control-Protocol) е един от най-използваните протоколи в мрежови среди, тъй като улеснява администрирането на данните, които идват или отиват към IP адреса, така че цялата мрежа от процеси да завърши успешно.
ХарактеристикаНякои от характеристиките на този протокол са:
- Улеснява мониторинга на потока от данни, като се избягва насищането на мрежата
- Позволява данните да бъдат оформени в сегменти с различна дължина, които да бъдат доставени към IP протокола
- Той дава възможност за мултиплексиране на данните, тоест прави информацията, произхождаща от различни източници, способна да циркулира едновременно.
Сега има няколко възможности за анализ на този мрежов трафик и благодарение на помощната програма TCPflow, Solvetic ще обясни как да го инсталирате и използвате в Linux среди.
Какво е TCPflowИнструментът tcpflow е разработен като програма, която улавя данните, предавани чрез TCP връзки, и след това съхранява тези данни за по -късен анализ на протокола и отстраняване на грешки.
Всеки TCP поток се съхранява в съответния файл, така че типичният TCP поток ще се съхранява в два файла, по един за всеки управляван адрес.
Неговият набор от функции включва усъвършенствана приставка система, която позволява декомпресиране на компресирани HTTP връзки, отмяна на MIME кодирането или извикване на програми на трети страни за последваща обработка и много други опции.
Практически използва TCPflowНякои от практическите приложения, при които TCPflow е полезен, са:
- Разберете потоците на мрежовите пакети и извършете криминалистиката на мрежата
- Разкрийте съдържанието на HTTP сесии
- Възстановете уеб страници, изтеглени чрез HTTP
- Извличане на зловреден софтуер, доставен с категория за изтегляне на диск
Сега нека видим как да използваме TCPflow
1. Как да инсталирате TCPflow на Linux
Етап 1
За да инсталираме TCPflow, трябва да изпълним една от следните команди в зависимост от използваното разпространение:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
Увеличете
Въвеждаме буквата S, за да потвърдим изтеглянето и инсталирането на помощната програма.
Стъпка 2
След като инсталирате TCPflow, ще бъде възможно да го стартирате с права на суперпотребител или иначе да използвате командата sudo, TCPflow слуша на активния мрежов интерфейс на системата.
sudo tcpflow
Увеличете
В този случай ще видим, че избраният интерфейс е enp0s3.
Стъпка 3
По подразбиране TCPflow съхранява всички заснети данни във файлове с имена във формуляра със следния синтаксис:
sourceip.sourceport-destip.destportСтъпка 4
Можем да направим списък с директории, за да проверим дали потокът tcp е уловен във всеки наличен файл, изпълняваме:
ls -l
Увеличете
Както бе споменато по -горе, всеки TCP поток се съхранява в собствен файл, там намираме различни форми.
Първият файл 192.168.000.004.51548-040.112.187.188.05228 съдържа данните, прехвърлени от хоста, на който са били пуснати през избрания порт към отдалечения хост през посочения порт.
2. Как да проверите подробности за навигацията, заснети от TCPflow Linux
Етап 1
За да проверим това, можем да отворим друг терминал и да изпълним пинг или да сърфираме в интернет, подробностите за сърфирането, които TCPflow улавя, ще бъдат отразени там, изпълняваме следното:
sudo tcpflow -c
Увеличете
Стъпка 2
TCPflow ни позволява да улавяме целия трафик на един порт, като порт 80 (HTTP), в този случай можете да видите HTTP заглавките, последвани от съдържанието, изпълняваме следното:
sudo tcpflow порт 80
Увеличете
Стъпка 3
Можем да улавяме пакети от конкретен мрежов интерфейс, с параметъра -i, за да посочим името на интерфейса по следния начин:
sudo tcpflow -i enp0s3 порт 80Възможно е също така да се посочи дестинационен хост, като се вземе неговият IP адрес или неговият URL:
sudo tcpflow -c хост www.solvetic.com
Увеличете
Стъпка 4
Ще бъде възможно да се активират всички процеси на скенерите с параметъра -a:
sudo tcpflow -aСтъпка 5
Можем да посочим специален скенер, който да бъде разрешен, наличните скенери включват md5, http, netviz, tcpdemux и wifiviz, опциите за използване са:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizСтъпка 5
Ако искаме да активираме глаголния режим, можем да изпълним някоя от следните опции:
sudo tcpflow -d 10 sudo tcpflow -v
Увеличете
И накрая, за достъп до помощта на помощната програма, която изпълняваме:
man tcpflowПо този начин TCPflow ни позволява да имаме контрол над всички TCP процеси в Linux среди по изчерпателен и пълен начин.
