ТЦПфлов команда за анализу мрежног саобраћаја на Линук -у

Анализа мрежног промета постаје један од најчешћих и неопходних административних задатака без обзира на врсту организације, јер ће лоша ТЦП конфигурација узроковати грешке у вези и управљање свим мрежним пакетима.

ТЦП протокол (Трансмиссион-Цонтрол-Протоцол), један је од најчешће коришћених протокола у мрежним окружењима јер олакшава администрацију података који долазе или одлазе на ИП адресу, тако да се цела процесна мрежа успешно завршава.

КарактеристикеНеке од карактеристика овог протокола су:

  • Олакшава праћење протока података избегавајући засићење мреже
  • Омогућава обликовање података у сегменте различите дужине за испоруку ИП протоколу
  • Он даје могућност мултиплексирања података, односно омогућава да информације које потичу из различитих извора истовремено циркулишу.

Сада постоји неколико опција за анализу овог мрежног саобраћаја, а захваљујући услужном програму ТЦПфлов, Солветиц ће објаснити како га инсталирати и користити у Линук окружењима.

Шта је ТЦПфловАлатка тцпфлов развијена је као програм који снима податке пренете преко ТЦП веза, а затим те податке складишти за каснију анализу протокола и отклањање грешака.

Сваки ТЦП ток је ускладиштен у одговарајућој датотеци, па ће типични ТЦП ток бити ускладиштен у две датотеке, по једна за сваку управљану адресу.

Његов скуп функција укључује напредни систем додатака који омогућава декомпресију компримованих ХТТП веза, поништавање МИМЕ кодирања или позивање програма независних произвођача за накнадну обраду и многе друге опције.

Практично користи ТЦПфловНеке од практичних употреба у којима је ТЦПфлов користан су:

  • Разумети токове мрежних пакета и обавити форензику мреже
  • Откријте садржај ХТТП сесија
  • Обновите веб странице преузете путем ХТТП -а
  • Издвојите злонамерни софтвер испоручен са категоријом преузимања по принципу "дриве-би"

Хајде сада да видимо како се користи ТЦПфлов

1. Како инсталирати ТЦПфлов на Линук

Корак 1
Да бисмо инсталирали ТЦПфлов, морамо извршити једну од следећих команди у зависности од дистрибуције која се користи:

 судо апт инсталл тцпфлов (Дебиан / Убунту) судо иум инсталл тцпфлов (ЦентОС / РХЕЛ) судо днф инсталл тцпфлов (Федора)

ЕНЛАРГЕ

Уносимо слово С да бисмо потврдили преузимање и инсталирање услужног програма.

Корак 2
Након инсталирања ТЦПфлов -а, моћи ћете да га покренете са привилегијама суперкорисника или да користите судо команду, ТЦПфлов слуша на активном мрежном интерфејсу система.

 судо тцпфлов

ЕНЛАРГЕ

У овом случају видећемо да је изабрани интерфејс енп0с3.

Корак 3
Подразумевано, ТЦПфлов складишти све снимљене податке у датотеке које имају имена у облику са следећом синтаксом:

 соурцеип.соурцепорт-дестип.дестпорт
Корак 4
Можемо направити листу директоријума да бисмо проверили да ли је ток тцп ухваћен у било којој доступној датотеци, извршавамо:
 лс -л

ЕНЛАРГЕ

Као што је већ поменуто, сваки ТЦП ток је ускладиштен у сопственој датотеци, тамо налазимо различите облике.
Прва датотека 192.168.000.004.51548-040.112.187.188.05228 садржи податке пренесене са хоста на којем су покренути преко изабраног порта до удаљеног хоста кроз наведени порт.

2. Како проверити детаље навигације које је забележио ТЦПфлов Линук

Корак 1
Да бисмо ово проверили, можемо отворити други терминал и извршити пинг или сурфовати Интернетом, детаљи прегледавања које ТЦПфлов снима ће се тамо одразити, извршавамо следеће:

 судо тцпфлов -ц

ЕНЛАРГЕ

Корак 2
ТЦПфлов нам омогућава да снимимо сав промет на једном порту, као што је порт 80 (ХТТП), у овом случају можете видети ХТТП заглавља праћена садржајем, извршавамо следеће:

 судо тцпфлов порт 80

ЕНЛАРГЕ

Корак 3
Можемо снимити пакете са одређеног мрежног интерфејса, са параметром -и да бисмо одредили име интерфејса овако:

 судо тцпфлов -и енп0с3 порт 80
Такође је могуће назначити одредишни хост узимајући његову ИП адресу или УРЛ:
 судо тцпфлов -ц хост ввв.солветиц.цом 

ЕНЛАРГЕ

Корак 4
Биће могуће омогућити све процесе скенера са параметром -а:

 судо тцпфлов -а
Корак 5
Можемо навести посебан скенер који треба омогућити, доступни скенери укључују мд5, хттп, нетвиз, тцпдемук и вифивиз, опције за коришћење су:
 судо тцпфлов -е хттп судо тцпфлов -е мд5 судо тцпфлов -е нетвиз судо тцпфлов -е тцпдемук судо тцпфлов -е вифивиз
Корак 5
Ако желимо да омогућимо глаголски режим, можемо извршити било коју од следећих опција:
 судо тцпфлов -д 10 судо тцпфлов -в

ЕНЛАРГЕ

Коначно, да бисмо приступили помоћи услужног програма који извршавамо:

 ман тцпфлов
Тако нам ТЦПфлов омогућава контролу на свим ТЦП процесима у Линук окружењима на свеобухватан и потпун начин.

wave wave wave wave wave