Analysen af netværkstrafik bliver en af de mest almindelige og nødvendige administrationsopgaver uanset organisationstype, da en dårlig TCP -konfiguration vil forårsage forbindelsesfejl og administration af alle netværkspakker.
TCP-protokollen (Transmission-Control-Protocol) er en af de mest anvendte protokoller i netværksmiljøer, da den letter administrationen af de data, der kommer eller går til IP-adressen, så hele procesnetværket gennemføres med succes.
funktionerNogle af egenskaberne ved denne protokol er:
- Gør det lettere at overvåge dataflow og undgå netværksmætning
- Tillader data at blive formet til segmenter af varierende længde, der skal leveres til IP -protokollen
- Det giver mulighed for at multiplexere dataene, det vil sige, at det gør informationen fra forskellige kilder i stand til at cirkulere samtidigt.
Nu er der flere muligheder for at analysere denne netværkstrafik, og det er takket være TCPflow -værktøjet, Solvetic vil forklare, hvordan man installerer og bruger det i Linux -miljøer.
Hvad er TCPflowTcpflow -værktøjet er udviklet som et program, der indsamler de data, der transmitteres via TCP -forbindelser og derefter gemmer disse data til senere protokolanalyse og fejlfinding.
Hver TCP -stream lagres i sin respektive fil, og derfor vil den typiske TCP -stream blive lagret i to filer, en for hver administreret adresse.
Dets sæt funktioner inkluderer et avanceret plug-in system, der tillader dekomprimering af komprimerede HTTP-forbindelser, fortrydelse af MIME-kodning eller påkaldelse af tredjepartsprogrammer til efterbehandling og mange flere muligheder.
Praktisk anvendelse TCPflowNogle af de praktiske anvendelser, hvor TCPflow er nyttig, er:
- Forstå netværkspakkestrømme og udfør netværkets retsmedicin
- Vis indholdet af HTTP -sessioner
- Genopbyg websider, der er downloadet via HTTP
- Udtræk malware leveret med drive-by downloads kategori
Lad os nu se, hvordan du bruger TCPflow
1. Sådan installeres TCPflow på Linux
Trin 1
For at installere TCPflow skal vi udføre en af følgende kommandoer afhængigt af den anvendte distribution:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
FORSTØRRE
Vi indtaster bogstavet S for at bekræfte download og installation af værktøjet.
Trin 2
Efter installation af TCPflow vil det være muligt at køre det med superbrugerrettigheder eller gøre brug af sudo -kommandoen, TCPflow lytter på systemets aktive netværksgrænseflade.
sudo tcpflow
FORSTØRRE
I dette tilfælde vil vi se, at den valgte grænseflade er enp0s3.
Trin 3
Som standard gemmer TCPflow alle fangede data i filer, der har navne i formularen med følgende syntaks:
sourceip.sourceport-destip.destportTrin 4
Vi kan lave en liste over mapper for at kontrollere, om tcp -flowet er fanget i en tilgængelig fil, vi udfører:
ls -l
FORSTØRRE
Som nævnt før er hver TCP -strøm gemt i sin egen fil, der finder vi forskellige former.
Den første fil 192.168.000.004.51548-040.112.187.188.05228 huser de data, der blev overført fra den vært, som den blev kørt via den valgte port til den eksterne vært via den angivne port.
2. Sådan kontrolleres navigationsdetaljer fanget af TCPflow Linux
Trin 1
For at kontrollere dette kan vi åbne en anden terminal og udføre et ping eller surfe på Internettet, de browserdetaljer, som TCPflow indsamler, vil blive afspejlet der, vi udfører følgende:
sudo tcpflow -c
FORSTØRRE
Trin 2
TCPflow giver os mulighed for at fange al trafik på en enkelt port, f.eks. Port 80 (HTTP), i dette tilfælde kan du se HTTP -overskrifterne efterfulgt af indholdet, vi udfører følgende:
sudo tcpflow -port 80
FORSTØRRE
Trin 3
Vi kan fange pakker fra en bestemt netværksgrænseflade med -i -parameteren for at angive grænsefladens navn således:
sudo tcpflow -i enp0s3 port 80Det er også muligt at angive en destinationsvært ved at tage dens IP -adresse eller dens URL:
sudo tcpflow -c vært www.solvetic.com
FORSTØRRE
Trin 4
Det vil være muligt at aktivere alle processerne i scannerne med -a parameteren:
sudo tcpflow -aTrin 5
Vi kan angive en speciel scanner, der skal aktiveres, de tilgængelige scannere inkluderer md5, http, netviz, tcpdemux og wifiviz, mulighederne for at bruge er:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizTrin 5
Hvis vi vil aktivere verbtilstanden, kan vi udføre en af følgende muligheder:
sudo tcpflow -d 10 sudo tcpflow -v
FORSTØRRE
Endelig udfører vi for at få adgang til hjælp fra værktøjet:
mand tcpflowSåledes giver TCPflow os mulighed for at have kontrol over alle TCP -processer i Linux -miljøer på en omfattende og komplet måde.