Analiza mrežnog prometa postaje jedan od najčešćih i najneophodnijih administrativnih zadataka bez obzira na vrstu organizacije jer će loša TCP konfiguracija uzrokovati greške u povezivanju i upravljanje svim mrežnim paketima.
TCP protokol (Transmission-Control-Protocol), jedan je od najčešće korištenih protokola u mrežnim okruženjima jer olakšava administraciju podataka koji dolaze ili odlaze na IP adresu, tako da se cijela procesna mreža uspješno dovršava.
obilježjaNeke od karakteristika ovog protokola su:
- Olakšava praćenje protoka podataka izbjegavajući zasićenje mreže
- Omogućuje oblikovanje podataka u segmente različite duljine za isporuku IP protokolu
- Omogućuje multipleksiranje podataka, odnosno omogućuje istodobnu cirkulaciju informacija koje potječu iz različitih izvora.
Sada postoji nekoliko mogućnosti za analizu ovog mrežnog prometa, a zahvaljujući uslužnom programu TCPflow, Solvetic će objasniti kako ga instalirati i koristiti u Linux okruženjima.
Što je TCPflowAlat tcpflow razvijen je kao program koji bilježi podatke prenesene putem TCP veza, a zatim te podatke pohranjuje za kasniju analizu protokola i ispravljanje pogrešaka.
Svaki TCP tok pohranjen je u odgovarajućoj datoteci, pa će tipični TCP tok biti pohranjen u dvije datoteke, po jedna za svaku upravljanu adresu.
Njegov skup značajki uključuje napredni sustav dodataka koji omogućuje dekompresiju komprimiranih HTTP veza, poništavanje MIME kodiranja ili pozivanje programa trećih strana za naknadnu obradu i mnoge druge mogućnosti.
Praktično koristi TCPflowNeke od praktičnih upotreba u kojima je TCPflow koristan su:
- Razumjeti tijekove mrežnih paketa i obaviti forenziku mreže
- Otkrijte sadržaj HTTP sesija
- Obnovite web stranice preuzete putem HTTP -a
- Izdvojite zlonamjerni softver isporučen s kategorijom preuzimanja na temelju pogona
Pogledajmo sada kako koristiti TCPflow
1. Kako instalirati TCPflow na Linux
Korak 1
Da bismo instalirali TCPflow, moramo izvršiti jednu od sljedećih naredbi ovisno o distribuciji koja se koristi:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
POVEĆAJTE
Upisujemo slovo S kako bismo potvrdili preuzimanje i instalaciju uslužnog programa.
Korak 2
Nakon instaliranja TCPflow -a, bit će ga moguće pokrenuti s privilegijama superkorisnika ili pak koristiti naredbu sudo, TCPflow sluša na aktivnom mrežnom sučelju sustava.
sudo tcpflow
POVEĆAJTE
U ovom slučaju vidjet ćemo da je odabrano sučelje enp0s3.
Korak 3
Prema zadanim postavkama, TCPflow pohranjuje sve snimljene podatke u datoteke s imenima u obliku sa sljedećom sintaksom:
sourceip.sourceport-destip.destportKorak 4
Možemo napraviti popis direktorija kako bismo provjerili je li tok tcp uhvaćen u bilo kojoj dostupnoj datoteci, izvršavamo:
ls -l
POVEĆAJTE
Kao što je već spomenuto, svaki TCP tok pohranjen je u vlastitoj datoteci, tamo nalazimo različite oblike.
Prva datoteka 192.168.000.004.51548-040.112.187.188.05228 sadrži podatke prenesene s hosta na kojem je provedena kroz odabrani port do udaljenog hosta kroz navedeni port.
2. Kako provjeriti navigacijske pojedinosti koje je zabilježio TCPflow Linux
Korak 1
Da bismo to provjerili, možemo otvoriti drugi terminal i izvršiti ping ili surfati internetom, detalji pregledavanja koje TCPflow bilježi bit će odraženi tamo, izvršavamo sljedeće:
sudo tcpflow -c
POVEĆAJTE
Korak 2
TCPflow nam omogućuje da snimimo sav promet na jednom portu, poput porta 80 (HTTP), u ovom slučaju možete vidjeti HTTP zaglavlja praćena sadržajem, izvršavamo sljedeće:
sudo tcpflow port 80
POVEĆAJTE
Korak 3
Možemo snimiti pakete s određenog mrežnog sučelja, s parametrom -i za određivanje naziva sučelja ovako:
sudo tcpflow -i enp0s3 port 80Također je moguće naznačiti odredišni host uzimajući njegovu IP adresu ili URL:
sudo tcpflow -c domaćin www.solvetic.com
POVEĆAJTE
Korak 4
Bit će moguće omogućiti sve procese skenera s parametrom -a:
sudo tcpflow -aKorak 5
Možemo navesti poseban skener koji će biti omogućen, dostupni skeneri uključuju md5, http, netviz, tcpdemux i wifiviz, mogućnosti korištenja su:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizKorak 5
Ako želimo omogućiti glagolski način, možemo izvršiti bilo koju od sljedećih opcija:
sudo tcpflow -d 10 sudo tcpflow -v
POVEĆAJTE
Konačno, za pristup pomoći uslužnog programa koji izvršavamo:
čovjek tcpflowStoga nam TCPflow omogućuje kontrolu nad svim TCP procesima u Linux okruženjima na sveobuhvatan i potpun način.
