TCPflow-Befehl zum Analysieren des Netzwerkverkehrs unter Linux

Die Analyse des Netzwerkverkehrs wird unabhängig von der Art der Organisation zu einer der häufigsten und notwendigsten Verwaltungsaufgaben, da eine schlechte TCP-Konfiguration Verbindungsfehler und die Verwaltung aller Netzwerkpakete verursacht.

Das TCP-Protokoll (Transmission-Control-Protocol) ist eines der am häufigsten verwendeten Protokolle in Netzwerkumgebungen, da es die Verwaltung der Daten erleichtert, die an die IP-Adresse kommen oder gehen, damit das gesamte Prozessnetzwerk erfolgreich abgeschlossen wird.

MerkmaleEinige der Merkmale dieses Protokolls sind:

  • Erleichtert die Überwachung des Datenflusses und vermeidet eine Netzwerksättigung
  • Ermöglicht das Formen von Daten in Segmente unterschiedlicher Länge, die an das IP-Protokoll geliefert werden
  • Es bietet die Möglichkeit, die Daten zu multiplexen, d. h., es ermöglicht, dass die aus verschiedenen Quellen stammenden Informationen gleichzeitig zirkulieren.

Nun gibt es mehrere Möglichkeiten, diesen Netzwerkverkehr zu analysieren, und dank des TCPflow-Dienstprogramms erklärt Solvetic, wie man es in Linux-Umgebungen installiert und verwendet.

Was ist TCPflow?Das Tool tcpflow wurde als Programm entwickelt, das die über TCP-Verbindungen übertragenen Daten erfasst und diese Daten für spätere Protokollanalysen und Debugging speichert.

Jeder TCP-Stream wird in seiner jeweiligen Datei gespeichert, daher wird der typische TCP-Stream in zwei Dateien gespeichert, eine für jede verwaltete Adresse.

Sein Funktionsumfang umfasst ein fortschrittliches Plug-in-System, das es ermöglicht, komprimierte HTTP-Verbindungen zu dekomprimieren, die MIME-Codierung rückgängig zu machen oder Programme von Drittanbietern zur Nachbearbeitung aufzurufen, und viele weitere Optionen.

Praktische Anwendungen TCPflowEinige der praktischen Anwendungen, bei denen TCPflow nützlich ist, sind:

  • Verstehen Sie Netzwerkpaketflüsse und führen Sie Netzwerkforensik durch
  • Enthüllen Sie den Inhalt von HTTP-Sitzungen
  • Über HTTP heruntergeladene Webseiten neu erstellen
  • Extrahieren Sie Malware, die mit der Kategorie Drive-by-Downloads geliefert wird

Sehen wir uns nun an, wie man TCPflow verwendet

1. So installieren Sie TCPflow unter Linux

Schritt 1
Um TCPflow zu installieren, müssen wir je nach verwendeter Distribution einen der folgenden Befehle ausführen:

 sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)

VERGRÖSSERN

Wir geben den Buchstaben S ein, um den Download und die Installation des Dienstprogramms zu bestätigen.

Schritt 2
Nach der Installation von TCPflow ist es möglich, es mit Superuser-Rechten auszuführen oder den sudo-Befehl zu verwenden, TCPflow hört auf der aktiven Netzwerkschnittstelle des Systems.

 sudo tcpflow

VERGRÖSSERN

In diesem Fall sehen wir, dass die ausgewählte Schnittstelle enp0s3 ist.

Schritt 3
Standardmäßig speichert TCPflow alle erfassten Daten in Dateien mit Namen im Formular mit der folgenden Syntax:

 sourceip.sourceport-destip.destport
Schritt 4
Wir können eine Liste von Verzeichnissen erstellen, um zu überprüfen, ob der TCP-Flow in einer verfügbaren Datei erfasst wurde. Wir führen Folgendes aus:
 ls -l

VERGRÖSSERN

Wie bereits erwähnt, wird jeder TCP-Stream in einer eigenen Datei gespeichert, dort finden wir verschiedene Formen.
Die erste Datei 192.168.000.004.51548-040.112.187.188.05228 enthält die Daten, die vom Host, auf dem sie ausgeführt wurde, über den ausgewählten Port zum Remote-Host über den angegebenen Port übertragen wurden.

2. So überprüfen Sie die von TCPflow Linux erfassten Navigationsdetails

Schritt 1
Um dies zu überprüfen, können wir ein anderes Terminal öffnen und einen Ping ausführen oder im Internet surfen. Die von TCPflow erfassten Browserdetails werden dort wiedergegeben. Wir führen Folgendes aus:

 sudo tcpflow -c

VERGRÖSSERN

Schritt 2
TCPflow ermöglicht es uns, den gesamten Datenverkehr an einem einzigen Port zu erfassen, z. B. Port 80 (HTTP). In diesem Fall können Sie die HTTP-Header gefolgt vom Inhalt sehen. Wir führen Folgendes aus:

 sudo tcpflow-Port 80

VERGRÖSSERN

Schritt 3
Wir können Pakete von einer bestimmten Netzwerkschnittstelle mit dem Parameter -i erfassen, um den Schnittstellennamen wie folgt anzugeben:

 sudo tcpflow -i enp0s3 port 80
Es ist auch möglich, einen Zielhost anzugeben, indem Sie seine IP-Adresse oder seine URL verwenden:
 sudo tcpflow -c host www.solvetic.com 

VERGRÖSSERN

Schritt 4
Mit dem Parameter -a können alle Prozesse der Scanner aktiviert werden:

 sudo tcpflow -a
Schritt 5
Wir können einen speziellen zu aktivierenden Scanner angeben, die verfügbaren Scanner umfassen md5, http, netviz, tcpdemux und wifiviz, die zu verwendenden Optionen sind:
 sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifiviz
Schritt 5
Wenn wir den Verbmodus aktivieren möchten, können wir eine der folgenden Optionen ausführen:
 sudo tcpflow -d 10 sudo tcpflow -v

VERGRÖSSERN

Um schließlich auf die Hilfe des Dienstprogramms zuzugreifen, führen wir Folgendes aus:

 Mann tcpflow
Somit ermöglicht uns TCPflow eine umfassende und vollständige Kontrolle über alle TCP-Prozesse in Linux-Umgebungen.

wave wave wave wave wave