Tcpflow – для мониторинга, захвата и дампа сетевых пакетов |

Tcpflow – для мониторинга, захвата и дампа сетевых пакетов

Мануал

Tcpflow описание

Tcpflow – это демультиплексор TCP / IP.

Tcpflow используется для записи трафика в основном между двумя хостами, хотя он может использоваться для мониторинга тысяч подключений.

Tcpflow отличается от других инструментов фактическим захватом реальных данных и их сбросом в файл, который мы покажем дальше.

Затем его можно использовать для других целей анализа.

Еще одно преимущество tcpflow – это эффективное восстановление сломанных пакетов.

Кроме того, tcpflow имеет множество параметров фильтра.

Мы можем отфильтровать захват множеством разных способов, и это слишком легко.

Обычно большинство способо сниффинга включают арп-отравление в качестве первого этапа.

Тем не менее, tcpflow захватывает почти все данные без активного отравления подсети или сети.

Мы уже упоминали этот инструмент в этой статье:

PwnPi – дистрибутив пентеста для Raspberry Pi

Опции

Syntax: tcpflow [options] [expression] [host]
-b: max number of bytes per flow to save

-c: console print only (don't create files)

-C: console print only, but without the display of source/dest header

-d: debug level; default is 1

-e: output each flow in alternating colors(Blue=client to server;Red=server to client;Green=Unknown)

-f: maximum number of file descriptors to use

-h: print this help message

-i: network interface on which to listen

-p: don't use promiscuous mode

-r: read packets from tcpdump output file

-s: strip non-printable characters (change to '.')

-v: verbose operation equivalent to -d 10

Источник: https://github.com/simsong/tcpflow

Ссылка: http://forensicswiki.org/wiki/Tcpflow

Лабораторная работа 1: Основы

Эта лаборатория демонстрирует базовую консоль-протоколирование данных и от целевого компьютера.

Здесь наш целевой IP-адрес – 192.168.0.100.

Кроме того, domain / hostnames приемлемы.

command tcpflow -ce host 192.168.0.100<your target here>

Примечание. Если вы используете какой-либо другой интерфейс, обязательно укажите -i и соответствующий интерфейс.

Предположим, нам нужен весь HTTP-трафик в сети,

command: tcpflow -ce port 80

Мы также можем использовать логические сравнения во время захвата.

Например, мы хотим видеть весь HTTP & https-трафик от & до хоста, мы выдаем следующую команду:

Command: tcpflow -ce host 192.168.0.100<your target> and port 80 or port 443.

Здесь команда выбирает хост «192.168.0.100», выполняет операцию «and» для условия: порт 80 «or» порт 443.

В частности, трафик HTTP или https с и на хост (192.168.0.100) фиксируется и отображается.

Помните, что HTTP работает на порту 80 и https на 443.

Лабораторная работа 2: Дамп данных в локальную папку

Эта лабораторка демонстрирует сброс всех данных между объектом.

Tcpflow дампит все данные в текущую рабочую папку (выполните команду: pwd, чтобы узнать текущий текущий рабочий каталог).

Итак, давайте создадим папку для сброса данных, а затем выполните tcpflow.

Шаг 1. Создайте новый каталог

Command: mkdir tcpflowdata<your name here>

Шаг 2: переход в новый каталог

Command: cd tcpflowdata<yourname>

Шаг 3: выполните tcpflow

Command: tcpflow host 192.168.0.103<your target here>

Вы можете увидеть все файлы, которые выгрузили в каталог с хоста, который мы указали в качестве начала имени файла.

Преимущество этого инструмента заключается в том, что любые четкие текстовые данные, такие как HTTP-аутентификация или telnet-соединение или smb-аутентификация и т. д., будут видны вам.

Как только вы дампите весь трафик, вы можете просмотреть его позже и проанализировать его в более поздний момент времени и еще много чего.

Вы можете загрузить его в Wireshark или любой инструмент, например xplico для форензики.

Попробуйте сами, запустите tcpflow и перейдите на любой HTTP-сайт (а не в facebook или twitter), возможно, на свою локальную страницу входа в маршрутизатор. Дайте пароль и проанализируйте вывод tcpflow.

Скачать TCPFLOW

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий