Analysen av nätverkstrafik blir en av de vanligaste och nödvändigaste administrationsuppgif.webpterna oavsett typ av organisation eftersom en dålig TCP -konfiguration kommer att orsaka anslutningsfel och hantering av alla nätverkspaket.
TCP-protokollet (Transmission-Control-Protocol) är ett av de mest använda protokollen i nätverksmiljöer eftersom det underlättar administrationen av de data som kommer eller går till IP-adressen så att hela processnätverket slutförs framgångsrikt.
funktionerNågra av egenskaperna hos detta protokoll är:
- Underlättar dataflödesövervakning och undviker nätmättnad
- Tillåter att data formas till segment av varierande längd som levereras till IP -protokollet
- Det ger möjlighet att multiplexera data, det vill säga det gör att informationen från olika källor kan cirkulera samtidigt.
Nu finns det flera alternativ för att analysera denna nätverkstrafik och det är tack vare TCPflow -verktyget, Solvetic kommer att förklara hur man installerar och använder den i Linux -miljöer.
Vad är TCPflowTcpflow -verktyget har utvecklats som ett program som fångar data som överförs via TCP -anslutningar och sedan lagrar dessa data för senare protokollanalys och felsökning.
Varje TCP -ström lagras i sin respektive fil, så den typiska TCP -strömmen kommer att lagras i två filer, en för varje hanterad adress.
Dess uppsättning funktioner inkluderar ett avancerat plug-in-system som gör det möjligt att dekomprimera komprimerade HTTP-anslutningar, ångra MIME-kodningen eller åberopa tredjepartsprogram för efterbehandling och många fler alternativ.
Praktiska användningsområden TCPflowNågra av de praktiska användningsområden där TCPflow är användbart är:
- Förstå nätverkspaketflöden och utför nätverksmedicin
- Visa innehållet i HTTP -sessioner
- Bygg om webbsidor som laddats ner via HTTP
- Extrahera skadlig kod som levereras med kategorin nedladdningar som körs genom
Låt oss nu se hur du använder TCPflow
1. Så här installerar du TCPflow på Linux
Steg 1
För att installera TCPflow måste vi köra ett av följande kommandon beroende på vilken distribution som används:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
FÖRSTORA
Vi anger bokstaven S för att bekräfta nedladdning och installation av verktyget.
Steg 2
Efter installation av TCPflow kommer det att vara möjligt att köra det med superanvändarprivilegier eller använda kommandot sudo, TCPflow lyssnar på systemets aktiva nätverksgränssnitt.
sudo tcpflow
FÖRSTORA
I det här fallet kommer vi att se att det valda gränssnittet är enp0s3.
Steg 3
Som standard lagrar TCPflow alla fångade data i filer som har namn i formuläret med följande syntax:
sourceip.sourceport-destip.destportSteg 4
Vi kan göra en lista med kataloger för att kontrollera om tcp -flödet har fångats i någon tillgänglig fil, vi kör:
ls -l
FÖRSTORA
Som nämnts tidigare lagras varje TCP -ström i sin egen fil, där hittar vi olika former.
Den första filen 192.168.000.004.51548-040.112.187.188.05228 rymmer data som överförs från värden på vilken den kördes via den valda porten till fjärrvärden via den angivna porten.
2. Så här kontrollerar du navigationsdetaljer som fångats av TCPflow Linux
Steg 1
För att kontrollera detta kan vi öppna en annan terminal och köra en ping eller surfa på Internet, de webbläsningsdetaljer som TCPflow fångar kommer att återspeglas där, vi utför följande:
sudo tcpflow -c
FÖRSTORA
Steg 2
TCPflow tillåter oss att fånga all trafik på en enda port, till exempel port 80 (HTTP), för det här fallet kan du se HTTP -rubriker följt av innehållet, vi utför följande:
sudo tcpflow -port 80
FÖRSTORA
Steg 3
Vi kan fånga paket från ett specifikt nätverksgränssnitt, med -i -parametern för att ange gränssnittets namn så här:
sudo tcpflow -i enp0s3 port 80Det är också möjligt att ange en destinationsvärd genom att ta dess IP -adress eller dess URL:
sudo tcpflow -c värd www.solvetic.com
FÖRSTORA
Steg 4
Det kommer att vara möjligt att aktivera alla processer i skannrarna med -a -parametern:
sudo tcpflow -aSteg 5
Vi kan ange en speciell skanner som ska aktiveras, tillgängliga skannrar inkluderar md5, http, netviz, tcpdemux och wifiviz, alternativen att använda är:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizSteg 5
Om vi vill aktivera verbläget kan vi köra något av följande alternativ:
sudo tcpflow -d 10 sudo tcpflow -v
FÖRSTORA
Slutligen, för att få tillgång till verktyget, kör vi:
man tcpflowSåledes tillåter TCPflow oss att ha kontroll över alla TCP -processer i Linux -miljöer på ett heltäckande och komplett sätt.