Analysen av nettverkstrafikk blir en av de vanligste og nødvendige administrasjonsoppgavene uavhengig av type organisasjon siden en dårlig TCP -konfigurasjon vil forårsake tilkoblingsfeil og administrasjon av alle nettverkspakker.
TCP-protokollen (Transmission-Control-Protocol), er en av de mest brukte protokollene i nettverksmiljøer siden den letter administrasjonen av dataene som kommer eller går til IP-adressen slik at hele prosessnettverket fullføres vellykket.
funksjonerNoen av egenskapene til denne protokollen er:
- Tilrettelegger datastrømovervåking og unngår metning av nettverk
- Lar data bli formet til segmenter av varierende lengde som skal leveres til IP -protokollen
- Det gir muligheten til å multiplekse dataene, det vil si at den gjør at informasjonen fra forskjellige kilder kan sirkulere samtidig.
Nå er det flere alternativer for å analysere denne nettverkstrafikken, og det er takket være TCPflow -verktøyet, Solvetic vil forklare hvordan du installerer og bruker det i Linux -miljøer.
Hva er TCPflowTcpflow -verktøyet er utviklet som et program som fanger dataene som overføres via TCP -tilkoblinger og deretter lagrer disse dataene for senere protokollanalyse og feilsøking.
Hver TCP -strøm lagres i sin respektive fil, og dermed vil den typiske TCP -strømmen lagres i to filer, en for hver administrerte adresse.
Settet med funksjoner inkluderer et avansert plug-in-system som tillater dekomprimering av komprimerte HTTP-tilkoblinger, angrer MIME-kodingen eller påkaller tredjepartsprogrammer for etterbehandling, og mange flere alternativer.
Praktisk bruk TCPflowNoen av de praktiske bruksområdene der TCPflow er nyttig er:
- Forstå nettverkspakkeflyt og utfør nettverksforensikk
- Avslør innholdet i HTTP -økter
- Bygg om nettsider lastet ned via HTTP
- Pakk ut skadelig programvare som leveres med kategorien nedlastinger for kjøring
La oss nå se hvordan du bruker TCPflow
1. Slik installerer du TCPflow på Linux
Trinn 1
For å installere TCPflow må vi utføre en av følgende kommandoer avhengig av distribusjonen som brukes:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
FORSTØRRE
Vi skriver inn bokstaven S for å bekrefte nedlasting og installasjon av verktøyet.
Steg 2
Etter å ha installert TCPflow, vil det være mulig å kjøre den med superbrukerrettigheter eller bruke sudo -kommandoen, TCPflow lytter på det aktive nettverksgrensesnittet til systemet.
sudo tcpflow
FORSTØRRE
I dette tilfellet vil vi se at det valgte grensesnittet er enp0s3.
Trinn 3
Som standard lagrer TCPflow alle fangede data i filer som har navn i skjemaet med følgende syntaks:
sourceip.sourceport-destip.destportTrinn 4
Vi kan lage en liste over kataloger for å sjekke om tcp -strømmen er fanget opp i en tilgjengelig fil, vi utfører:
ls -l
FORSTØRRE
Som nevnt tidligere, lagres hver TCP -strøm i sin egen fil, der finner vi forskjellige former.
Den første filen 192.168.000.004.51548-040.112.187.188.05228 huser dataene som ble overført fra verten den ble kjørt gjennom den valgte porten til den eksterne verten gjennom den angitte porten.
2. Slik kontrollerer du navigasjonsdetaljer fanget av TCPflow Linux
Trinn 1
For å sjekke dette, kan vi åpne en annen terminal og utføre en ping eller surfe på Internett. Lesedetaljene som TCPflow fanger vil gjenspeiles der, vi utfører følgende:
sudo tcpflow -c
FORSTØRRE
Steg 2
TCPflow lar oss fange all trafikk på en enkelt port, for eksempel port 80 (HTTP), for dette tilfellet kan du se HTTP -overskriftene etterfulgt av innholdet, vi utfører følgende:
sudo tcpflow -port 80
FORSTØRRE
Trinn 3
Vi kan fange pakker fra et bestemt nettverksgrensesnitt, med -i -parameteren for å spesifisere grensesnittnavnet slik:
sudo tcpflow -i enp0s3 port 80Det er også mulig å angi en destinasjonsvert ved å ta IP -adressen eller URL -adressen:
sudo tcpflow -c vert www.solvetic.com
FORSTØRRE
Trinn 4
Det vil være mulig å aktivere alle prosessene til skannerne med -a parameteren:
sudo tcpflow -aTrinn 5
Vi kan spesifisere en spesiell skanner som skal aktiveres, de tilgjengelige skannerne inkluderer md5, http, netviz, tcpdemux og wifiviz, alternativene å bruke er:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizTrinn 5
Hvis vi vil aktivere verbmodus, kan vi utføre et av følgende alternativer:
sudo tcpflow -d 10 sudo tcpflow -v
FORSTØRRE
Til slutt, for å få tilgang til hjelpen til verktøyet, kjører vi:
mann tcpflowDermed lar TCPflow oss ha kontroll over alle TCP -prosesser i Linux -miljøer på en omfattende og komplett måte.
