Tīkla trafika analīze kļūst par vienu no visbiežāk sastopamajiem un nepieciešamajiem administrēšanas uzdevumiem neatkarīgi no organizācijas veida, jo slikta TCP konfigurācija izraisīs savienojuma kļūdas un visu tīkla pakešu pārvaldību.
TCP protokols (pārraides-kontroles protokols) ir viens no visbiežāk izmantotajiem protokoliem tīkla vidē, jo tas atvieglo to datu administrēšanu, kas nāk vai tiek nosūtīti uz IP adresi, lai viss procesa tīkls tiktu veiksmīgi pabeigts.
IespējasDažas šī protokola iezīmes ir šādas:
- Atvieglo datu plūsmas uzraudzību, izvairoties no tīkla piesātinājuma
- Ļauj datus veidot IP protokolā dažāda garuma segmentos
- Tas dod iespēju multipleksēt datus, tas ir, padara informāciju, kuras izcelsme ir no dažādiem avotiem, vienlaicīgu apriti.
Tagad ir vairākas iespējas, kā analizēt šo tīkla trafiku, un pateicoties TCPflow utilītprogrammai, Solvetic paskaidros, kā to instalēt un izmantot Linux vidē.
Kas ir TCPflowTcpflow rīks ir izstrādāts kā programma, kas uztver datus, kas tiek pārraidīti, izmantojot TCP savienojumus, un pēc tam saglabā šos datus vēlākai protokola analīzei un atkļūdošanai.
Katra TCP straume tiek saglabāta attiecīgajā failā, līdz ar to tipiskā TCP plūsma tiks saglabāta divos failos, pa vienam katrai pārvaldītajai adresei.
Tā funkciju komplektā ietilpst uzlabota spraudņu sistēma, kas ļauj atspiest saspiestos HTTP savienojumus, atsaukt MIME kodējumu vai izsaukt trešo pušu programmas pēcapstrādei, kā arī daudzas citas iespējas.
Praktiski izmanto TCPflowDaži praktiski lietojumi, kur TCPflow ir noderīga, ir šādi:
- Izprast tīkla pakešu plūsmas un veikt tīkla kriminālistiku
- Atklājiet HTTP sesiju saturu
- Atjaunojiet tīmekļa lapas, kas lejupielādētas, izmantojot HTTP
- Izņemiet ļaunprātīgu programmatūru, kas piegādāta kopā ar lejupielādes kategoriju
Tagad redzēsim, kā izmantot TCPflow
1. Kā instalēt TCPflow operētājsistēmā Linux
1. darbība
Lai instalētu TCPflow, mums jāizpilda viena no šīm komandām atkarībā no izmantotā izplatīšanas:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
PALIELINĀT
Mēs ievadām burtu S, lai apstiprinātu utilītas lejupielādi un instalēšanu.
2. solis
Pēc TCPflow instalēšanas to būs iespējams palaist ar superlietotāja privilēģijām vai arī izmantot komandu sudo, TCPflow klausās sistēmas aktīvajā tīkla saskarnē.
sudo tcpflow
PALIELINĀT
Šajā gadījumā mēs redzēsim, ka atlasītā saskarne ir enp0s3.
3. solis
Pēc noklusējuma TCPflow visus iegūtos datus saglabā failos, kuru nosaukumi ir šādā formā:
sourceip.sourceport-destip.destport4. solis
Mēs varam izveidot direktoriju sarakstu, lai pārbaudītu, vai tcp plūsma ir ierakstīta jebkurā pieejamā failā, un mēs izpildām:
ls -l
PALIELINĀT
Kā minēts iepriekš, katra TCP straume tiek saglabāta savā failā, tur mēs atrodam dažādas formas.
Pirmajā failā 192.168.000.004.51548-040.112.187.188.05228 ir dati, kas tiek pārsūtīti no resursdatora, kurā tas tika palaists, caur izvēlēto portu uz attālo resursdatoru, izmantojot norādīto portu.
2. Kā pārbaudīt navigācijas informāciju, ko uztver TCPflow Linux
1. darbība
Lai to pārbaudītu, mēs varam atvērt citu termināli un izpildīt ping vai sērfot internetā, tur tiks atspoguļota pārlūkošanas informācija, ko uztver TCPflow, un mēs izpildām sekojošo:
sudo tcpflow -c
PALIELINĀT
2. solis
TCPflow ļauj mums uztvert visu datplūsmu vienā ostā, piemēram, 80. portā (HTTP), šajā gadījumā jūs varat redzēt HTTP galvenes, kam seko saturs, un mēs izpildām sekojošo:
sudo tcpflow ports 80
PALIELINĀT
3. solis
Mēs varam uztvert paketes no konkrēta tīkla interfeisa ar parametru -i, lai norādītu interfeisa nosaukumu šādi:
sudo tcpflow -i enp0s3 ports 80Ir iespējams norādīt arī galamērķa saimniekdatoru, ņemot tā IP adresi vai URL:
sudo tcpflow -c resursdators www.solvetic.com
PALIELINĀT
4. solis
Visus skeneru procesus būs iespējams iespējot ar parametru -a:
sudo tcpflow -a5. solis
Mēs varam norādīt iespējojamu īpašu skeneri, pieejamie skeneri ietver md5, http, netviz, tcpdemux un wifiviz, izmantojamās iespējas:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifiviz5. solis
Ja mēs vēlamies iespējot darbības vārda režīmu, mēs varam izpildīt kādu no šīm iespējām:
sudo tcpflow -d 10 sudo tcpflow -v
PALIELINĀT
Visbeidzot, lai piekļūtu mūsu izpildītās utilītas palīdzībai:
cilvēks tcpflowTādējādi TCPflow ļauj mums visaptverošā un pilnīgā veidā kontrolēt visus TCP procesus Linux vidē.
