Analýza síťového provozu se stává jednou z nejběžnějších a nezbytných administračních úloh bez ohledu na typ organizace, protože špatná konfigurace TCP způsobí chyby připojení a správu všech síťových paketů.
Protokol TCP (Transmission-Control-Protocol) je jedním z nejpoužívanějších protokolů v síťových prostředích, protože usnadňuje správu dat, která přicházejí nebo odcházejí na IP adresu, takže se celá procesní síť úspěšně dokončí.
funkceNěkteré z vlastností tohoto protokolu jsou:
- Usnadňuje monitorování toku dat bez nasycení sítě
- Umožňuje dodávat data do segmentů různé délky, která mají být doručena do protokolu IP
- Poskytuje možnost multiplexování dat, to znamená, že umožňuje, aby informace pocházející z různých zdrojů mohly cirkulovat současně.
Nyní existuje několik možností, jak tento síťový provoz analyzovat, a díky nástroji TCPflow vám Solvetic vysvětlí, jak jej nainstalovat a používat v prostředí Linuxu.
Co je TCPflowNástroj tcpflow byl vyvinut jako program, který zachycuje data přenášená přes připojení TCP a poté je ukládá pro pozdější analýzu protokolů a ladění.
Každý tok TCP je uložen v příslušném souboru, takže typický tok TCP bude uložen ve dvou souborech, jeden pro každou spravovanou adresu.
Jeho sada funkcí zahrnuje pokročilý plug-in systém, který umožňuje dekomprimovat komprimovaná připojení HTTP, zrušit kódování MIME nebo vyvolat programy třetích stran pro následné zpracování a mnoho dalších možností.
Praktické využití TCPflowNěkterá z praktických použití, kde je užitečný TCPflow, jsou:
- Pochopte toky síťových paketů a proveďte forenzní analýzu sítě
- Odhalte obsah relací HTTP
- Znovu vytvořte webové stránky stažené přes HTTP
- Extrahujte malware dodávaný s kategorií stahování podle typu drive-by
Nyní se podívejme, jak používat TCPflow
1. Jak nainstalovat TCPflow na Linux
Krok 1
K instalaci TCPflow musíme spustit jeden z následujících příkazů v závislosti na použité distribuci:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
ZVĚTŠIT
Zadáním písmene S potvrdíme stažení a instalaci nástroje.
Krok 2
Po instalaci TCPflow jej bude možné spustit s oprávněními superuživatele nebo použít příkaz sudo, TCPflow naslouchá na aktivním síťovém rozhraní systému.
sudo tcpflow
ZVĚTŠIT
V tomto případě uvidíme, že vybrané rozhraní je enp0s3.
Krok 3
Ve výchozím nastavení TCPflow ukládá všechna zachycená data do souborů, které mají názvy ve formuláři s následující syntaxí:
sourceip.sourceport-destip.destportKrok 4
Můžeme vytvořit seznam adresářů, abychom zkontrolovali, zda byl tok tcp zachycen v jakémkoli dostupném souboru, provedeme:
ls -l
ZVĚTŠIT
Jak již bylo zmíněno dříve, každý tok TCP je uložen ve svém vlastním souboru, kde najdeme různé formy.
První soubor 192.168.000.004.51548-040.112.187.188.05228 obsahuje data přenesená z hostitele, na kterém byla spuštěna přes vybraný port, do vzdáleného hostitele přes uvedený port.
2. Jak zkontrolovat podrobnosti navigace zachycené TCPflow Linux
Krok 1
Chcete -li to zkontrolovat, můžeme otevřít jiný terminál a spustit ping nebo procházet internet, podrobnosti o procházení, které TCPflow zachycuje, se tam projeví, provedeme následující:
sudo tcpflow -c
ZVĚTŠIT
Krok 2
TCPflow nám umožňuje zachytit veškerý provoz na jednom portu, například na portu 80 (HTTP), v tomto případě můžete vidět záhlaví HTTP následovaná obsahem, provedeme následující:
sudo tcpflow port 80
ZVĚTŠIT
Krok 3
Můžeme zachytit pakety z konkrétního síťového rozhraní s parametrem -i k zadání názvu rozhraní takto:
sudo tcpflow -i enp0s3 port 80Je také možné určit cílového hostitele převzetím jeho IP adresy nebo jeho adresy URL:
sudo tcpflow -c hostitel www.solvetic.com
ZVĚTŠIT
Krok 4
Bude možné povolit všechny procesy skenerů s parametrem -a:
sudo tcpflow -aKrok 5
Můžeme určit, že bude povolen speciální skener, dostupné skenery zahrnují md5, http, netviz, tcpdemux a wifiviz, možnosti použití jsou:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizKrok 5
Pokud chceme povolit režim slovesa, můžeme spustit některou z následujících možností:
sudo tcpflow -d 10 sudo tcpflow -v
ZVĚTŠIT
Nakonec pro přístup k nápovědě nástroje spustíme:
člověk tcpflowTCPflow nám tedy umožňuje mít kontrolu nad všemi procesy TCP v prostředí Linuxu komplexním a úplným způsobem.
