Tcpflow описание
Tcpflow – это демультиплексор TCP / IP.
Tcpflow используется для записи трафика в основном между двумя хостами, хотя он может использоваться для мониторинга тысяч подключений.
Tcpflow отличается от других инструментов фактическим захватом реальных данных и их сбросом в файл, который мы покажем дальше.
Затем его можно использовать для других целей анализа.
Еще одно преимущество tcpflow – это эффективное восстановление сломанных пакетов.
Кроме того, tcpflow имеет множество параметров фильтра.
Мы можем отфильтровать захват множеством разных способов, и это слишком легко.
Обычно большинство способо сниффинга включают арп-отравление в качестве первого этапа.
Тем не менее, tcpflow захватывает почти все данные без активного отравления подсети или сети.
Мы уже упоминали этот инструмент в этой статье:
Опции
Syntax: tcpflow [options] [expression] [host]
-b: max number of bytes per flow to save -c: console print only (don't create files) -C: console print only, but without the display of source/dest header -d: debug level; default is 1 -e: output each flow in alternating colors(Blue=client to server;Red=server to client;Green=Unknown) -f: maximum number of file descriptors to use -h: print this help message -i: network interface on which to listen -p: don't use promiscuous mode -r: read packets from tcpdump output file -s: strip non-printable characters (change to '.') -v: verbose operation equivalent to -d 10
Источник: https://github.com/simsong/tcpflow
Ссылка: http://forensicswiki.org/wiki/Tcpflow
Лабораторная работа 1: Основы
Эта лаборатория демонстрирует базовую консоль-протоколирование данных и от целевого компьютера.
Здесь наш целевой IP-адрес – 192.168.0.100.
Кроме того, domain / hostnames приемлемы.
command tcpflow -ce host 192.168.0.100<your target here>
Примечание. Если вы используете какой-либо другой интерфейс, обязательно укажите -i и соответствующий интерфейс.
Предположим, нам нужен весь HTTP-трафик в сети,
command: tcpflow -ce port 80
Мы также можем использовать логические сравнения во время захвата.
Например, мы хотим видеть весь HTTP & https-трафик от & до хоста, мы выдаем следующую команду:
Command: tcpflow -ce host 192.168.0.100<your target> and port 80 or port 443.
Здесь команда выбирает хост «192.168.0.100», выполняет операцию «and» для условия: порт 80 «or» порт 443.
В частности, трафик HTTP или https с и на хост (192.168.0.100) фиксируется и отображается.
Помните, что HTTP работает на порту 80 и https на 443.
Лабораторная работа 2: Дамп данных в локальную папку
Эта лабораторка демонстрирует сброс всех данных между объектом.
Tcpflow дампит все данные в текущую рабочую папку (выполните команду: pwd, чтобы узнать текущий текущий рабочий каталог).
Итак, давайте создадим папку для сброса данных, а затем выполните tcpflow.
Шаг 1. Создайте новый каталог
Command: mkdir tcpflowdata<your name here>
Шаг 2: переход в новый каталог
Command: cd tcpflowdata<yourname>
Шаг 3: выполните tcpflow
Command: tcpflow host 192.168.0.103<your target here>
Вы можете увидеть все файлы, которые выгрузили в каталог с хоста, который мы указали в качестве начала имени файла.
Преимущество этого инструмента заключается в том, что любые четкие текстовые данные, такие как HTTP-аутентификация или telnet-соединение или smb-аутентификация и т. д., будут видны вам.
Как только вы дампите весь трафик, вы можете просмотреть его позже и проанализировать его в более поздний момент времени и еще много чего.
Вы можете загрузить его в Wireshark или любой инструмент, например xplico для форензики.
Попробуйте сами, запустите tcpflow и перейдите на любой HTTP-сайт (а не в facebook или twitter), возможно, на свою локальную страницу входа в маршрутизатор. Дайте пароль и проанализируйте вывод tcpflow.
Скачать TCPFLOW
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.