Analiza ruchu sieciowego staje się jednym z najczęstszych i niezbędnych zadań administracyjnych niezależnie od typu organizacji, ponieważ zła konfiguracja TCP spowoduje błędy w połączeniu i zarządzaniu wszystkimi pakietami sieciowymi.
Protokół TCP (Transmission-Control-Protocol) jest jednym z najczęściej używanych protokołów w środowiskach sieciowych, ponieważ ułatwia administrowanie danymi przychodzącymi lub przesyłanymi do adresu IP, dzięki czemu cała sieć procesowa kończy się pomyślnie.
funkcjeNiektóre cechy tego protokołu to:
- Ułatwia monitorowanie przepływu danych, unikając nasycenia sieci
- Umożliwia formowanie danych w segmenty o różnej długości, które są dostarczane do protokołu IP
- Daje możliwość multipleksowania danych, czyli sprawia, że informacje pochodzące z różnych źródeł mogą krążyć jednocześnie.
Teraz istnieje kilka opcji analizy tego ruchu sieciowego i to dzięki narzędziu TCPflow Solvetic wyjaśni, jak go zainstalować i używać w środowiskach Linux.
Co to jest przepływ TCPNarzędzie tcpflow zostało opracowane jako program, który przechwytuje dane przesyłane przez połączenia TCP, a następnie przechowuje te dane do późniejszej analizy protokołu i debugowania.
Każdy strumień TCP jest przechowywany w odpowiednim pliku, dlatego typowy strumień TCP będzie przechowywany w dwóch plikach, po jednym dla każdego zarządzanego adresu.
Jego zestaw funkcji obejmuje zaawansowany system wtyczek, który umożliwia dekompresję skompresowanych połączeń HTTP, cofanie kodowania MIME lub wywoływanie programów innych firm w celu przetwarzania końcowego i wiele innych opcji.
Praktyczne zastosowania TCPflowNiektóre z praktycznych zastosowań, w których przydatny jest TCPflow, to:
- Zrozumieć przepływy pakietów w sieci i przeprowadzić analizę sieci
- Ujawnij zawartość sesji HTTP
- Odbuduj strony internetowe pobrane przez HTTP
- Wyodrębnij złośliwe oprogramowanie dostarczane z kategorią drive-by download
Zobaczmy teraz, jak korzystać z TCPflow
1. Jak zainstalować TCPflow w systemie Linux
Krok 1
Aby zainstalować TCPflow, musimy wykonać jedno z następujących poleceń w zależności od używanej dystrybucji:
sudo apt zainstaluj tcpflow (Debian / Ubuntu) sudo yum zainstaluj tcpflow (CentOS / RHEL) sudo dnf zainstaluj tcpflow (Fedora)
POWIĘKSZAĆ
Wpisujemy literę S, aby potwierdzić pobranie i instalację narzędzia.
Krok 2
Po zainstalowaniu TCPflow będzie można uruchomić go z uprawnieniami superużytkownika lub skorzystać z polecenia sudo, TCPflow nasłuchuje na aktywnym interfejsie sieciowym systemu.
sudo tcpflow
POWIĘKSZAĆ
W tym przypadku zobaczymy, że wybranym interfejsem jest enp0s3.
Krok 3
Domyślnie TCPflow przechowuje wszystkie przechwycone dane w plikach o nazwach w formularzu o następującej składni:
sourceip.sourceport-destip.destportKrok 4
Możemy zrobić listę katalogów, aby sprawdzić, czy przepływ tcp został przechwycony w dowolnym dostępnym pliku, wykonujemy:
ls-l
POWIĘKSZAĆ
Jak wspomniano wcześniej, każdy strumień TCP jest przechowywany w osobnym pliku, tam znajdziemy różne formy.
Pierwszy plik 192.168.000.004.51548-040.112.187.188.05228 zawiera dane przesłane z hosta, na którym zostało uruchomione przez wybrany port, do hosta zdalnego przez wskazany port.
2. Jak sprawdzić szczegóły nawigacji przechwycone przez TCPflow Linux?
Krok 1
Aby to sprawdzić, możemy otworzyć inny terminal i wykonać polecenie ping lub surfować po Internecie, szczegóły przeglądania, które przechwytuje TCPflow, zostaną tam odzwierciedlone, wykonujemy następujące czynności:
sudo tcpflow -c
POWIĘKSZAĆ
Krok 2
TCPflow pozwala nam przechwycić cały ruch na jednym porcie, takim jak port 80 (HTTP), w tym przypadku możesz zobaczyć nagłówki HTTP, a następnie treść, wykonujemy następujące czynności:
port sudo tcpflow 80
POWIĘKSZAĆ
Krok 3
Możemy przechwytywać pakiety z określonego interfejsu sieciowego, używając parametru -i do określenia nazwy interfejsu w następujący sposób:
sudo tcpflow -i enp0s3 port 80Możliwe jest również wskazanie hosta docelowego poprzez jego adres IP lub adres URL:
sudo tcpflow -c host www.solvetic.com
POWIĘKSZAĆ
Krok 4
Możliwe będzie włączenie wszystkich procesów skanerów z parametrem -a:
sudo tcpflow -aKrok 5
Możemy określić specjalny skaner, który ma być włączony, dostępne skanery to md5, http, netviz, tcpdemux i wifiviz, opcje do użycia to:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizKrok 5
Jeśli chcemy włączyć tryb czasownika, możemy wykonać dowolną z następujących opcji:
sudo tcpflow -d 10 sudo tcpflow -v
POWIĘKSZAĆ
Na koniec, aby uzyskać dostęp do pomocy narzędzia, które wykonujemy:
człowiek tcpflowW ten sposób TCPflow pozwala nam mieć kontrolę nad wszystkimi procesami TCP w środowiskach Linux w sposób kompleksowy i kompletny.
