Analiza traficului de rețea devine una dintre cele mai frecvente și necesare sarcini de administrare, indiferent de tipul de organizație, deoarece o configurație TCP greșită va provoca erori de conexiune și gestionarea tuturor pachetelor de rețea.
Protocolul TCP (Transmission-Control-Protocol) este unul dintre cele mai utilizate protocoale în mediile de rețea, deoarece facilitează administrarea datelor care vin sau merg la adresa IP, astfel încât întreaga rețea de proces să se finalizeze cu succes.
CaracteristiciUnele dintre caracteristicile acestui protocol sunt:
- Facilitează monitorizarea fluxului de date evitând saturația rețelei
- Permite formarea datelor în segmente de lungime variabilă pentru a fi livrate protocolului IP
- Oferă posibilitatea multiplexării datelor, adică face ca informațiile provenind din diferite surse să poată circula simultan.
Acum, există mai multe opțiuni pentru a analiza acest trafic de rețea și datorită utilitarului TCPflow, Solvetic vă va explica cum să îl instalați și să îl utilizați în medii Linux.
Ce este TCPflowInstrumentul tcpflow a fost dezvoltat ca un program care captează datele transmise prin conexiuni TCP și apoi stochează aceste date pentru analiza și depanarea protocolului ulterior.
Fiecare flux TCP este stocat în fișierul său respectiv, astfel fluxul TCP tipic va fi stocat în două fișiere, unul pentru fiecare adresă gestionată.
Setul său de caracteristici include un sistem avansat de plug-in care permite decomprimarea conexiunilor HTTP comprimate, anularea codificării MIME sau invocarea de programe terțe pentru post-procesare și multe alte opțiuni.
Utilizări practice TCPflowUnele dintre utilizările practice în care TCPflow este util sunt:
- Înțelegeți fluxurile de pachete de rețea și efectuați criminalistica rețelei
- Dezvăluie conținutul sesiunilor HTTP
- Reconstruiți paginile web descărcate prin HTTP
- Extrageți programele malware livrate cu categoria de descărcări drive-by
Acum să vedem cum să folosim TCPflow
1. Cum se instalează TCPflow pe Linux
Pasul 1
Pentru a instala TCPflow trebuie să executăm una dintre următoarele comenzi în funcție de distribuția utilizată:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
MARI
Introducem litera S pentru a confirma descărcarea și instalarea utilitarului.
Pasul 2
După instalarea TCPflow, va fi posibil să îl rulați cu privilegii de superutilizator sau altfel să utilizați comanda sudo, TCPflow ascultă pe interfața de rețea activă a sistemului.
sudo tcpflow
MARI
În acest caz vom vedea că interfața selectată este enp0s3.
Pasul 3
În mod implicit, TCPflow stochează toate datele capturate în fișiere care au nume în formular cu următoarea sintaxă:
sourceip.sourceport-destip.destportPasul 4
Putem face o listă de directoare pentru a verifica dacă fluxul tcp a fost capturat în orice fișier disponibil, executăm:
ls -l
MARI
Așa cum am menționat anterior, fiecare flux TCP este stocat în propriul fișier, acolo găsim diferite forme.
Primul fișier 192.168.000.004.51548-040.112.187.188.05228 găzduiește datele transferate de la gazda pe care a fost rulat prin portul selectat la gazda la distanță prin portul indicat.
2. Cum să verificați detaliile de navigare capturate de TCPflow Linux
Pasul 1
Pentru a verifica acest lucru, putem deschide un alt terminal și putem executa un ping sau naviga pe Internet, detaliile de navigare pe care le captează TCPflow vor fi reflectate acolo, executăm următoarele:
sudo tcpflow -c
MARI
Pasul 2
TCPflow ne permite să captăm tot traficul pe un singur port, cum ar fi portul 80 (HTTP), pentru acest caz, puteți vedea anteturile HTTP urmate de conținut, executăm următoarele:
sudo tcpflow port 80
MARI
Pasul 3
Putem captura pachete dintr-o anumită interfață de rețea, cu parametrul -i pentru a specifica numele interfeței astfel:
sudo tcpflow -i enp0s3 port 80De asemenea, este posibil să indicați o gazdă de destinație luând adresa IP sau adresa URL a acesteia:
sudo tcpflow -c gazdă www.solvetic.com
MARI
Pasul 4
Va fi posibil să activați toate procesele scanerelor cu parametrul -a:
sudo tcpflow -aPasul 5
Putem specifica un scaner special care să fie activat, scanerele disponibile includ md5, http, netviz, tcpdemux și wifiviz, opțiunile de utilizat fiind:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizPasul 5
Dacă dorim să activăm modul verb, putem executa oricare dintre următoarele opțiuni:
sudo tcpflow -d 10 sudo tcpflow -v
MARI
În cele din urmă, pentru a accesa ajutorul utilitarului pe care îl executăm:
man tcpflowAstfel, TCPflow ne permite să avem control asupra tuturor proceselor TCP din mediile Linux într-un mod cuprinzător și complet.
