De analyse van netwerkverkeer wordt een van de meest voorkomende en noodzakelijke beheertaken, ongeacht het type organisatie, aangezien een slechte TCP-configuratie verbindingsfouten en beheer van alle netwerkpakketten zal veroorzaken.
Het TCP-protocol (Transmission-Control-Protocol) is een van de meest gebruikte protocollen in netwerkomgevingen omdat het het beheer van de gegevens die naar het IP-adres komen of gaan, vergemakkelijkt, zodat het hele procesnetwerk met succes wordt voltooid.
KenmerkenEnkele kenmerken van dit protocol zijn:
- Vergemakkelijkt het bewaken van de gegevensstroom en vermijdt netwerkverzadiging
- Hiermee kunnen gegevens worden gevormd in segmenten van verschillende lengte die aan het IP-protocol kunnen worden geleverd
- Het geeft de mogelijkheid om de gegevens te multiplexen, dat wil zeggen, het maakt de informatie afkomstig van verschillende bronnen in staat om gelijktijdig te circuleren.
Nu zijn er verschillende opties om dit netwerkverkeer te analyseren en dankzij het hulpprogramma TCPflow zal Solvetic uitleggen hoe het te installeren en te gebruiken in Linux-omgevingen.
Wat is TCPflowDe tcpflow-tool is ontwikkeld als een programma dat de gegevens vastlegt die via TCP-verbindingen worden verzonden en deze gegevens vervolgens opslaat voor latere protocolanalyse en foutopsporing.
Elke TCP-stream wordt opgeslagen in zijn respectieve bestand, dus de typische TCP-stream wordt opgeslagen in twee bestanden, één voor elk beheerd adres.
De set functies omvat een geavanceerd plug-insysteem dat het mogelijk maakt om gecomprimeerde HTTP-verbindingen te decomprimeren, de MIME-codering ongedaan te maken of programma's van derden aan te roepen voor nabewerking, en nog veel meer opties.
Praktisch gebruik TCPflowEnkele van de praktische toepassingen waarbij TCPflow nuttig is, zijn:
- Begrijp netwerkpakketstromen en voer netwerkforensisch onderzoek uit
- Onthul de inhoud van HTTP-sessies
- Herbouw webpagina's gedownload via HTTP
- Malware uitpakken die wordt geleverd in de categorie drive-by downloads
Laten we nu eens kijken hoe we TCPflow kunnen gebruiken
1. Hoe TCPflow op Linux te installeren
Stap 1
Om TCPflow te installeren, moeten we een van de volgende opdrachten uitvoeren, afhankelijk van de gebruikte distributie:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
VERGROTEN
We voeren de letter S in om de download en installatie van het hulpprogramma te bevestigen.
Stap 2
Na het installeren van TCPflow, zal het mogelijk zijn om het uit te voeren met superuser-privileges of anders gebruik maken van het sudo-commando, TCPflow luistert op de actieve netwerkinterface van het systeem.
sudo tcpflow
VERGROTEN
In dit geval zullen we zien dat de geselecteerde interface enp0s3 is.
Stap 3
Standaard slaat TCPflow alle vastgelegde gegevens op in bestanden met namen in de vorm met de volgende syntaxis:
sourceip.sourceport-destip.destportStap 4
We kunnen een lijst met mappen maken om te controleren of de tcp-stroom is vastgelegd in een beschikbaar bestand, we voeren uit:
ls -l
VERGROTEN
Zoals eerder vermeld, wordt elke TCP-stream in zijn eigen bestand opgeslagen, daar vinden we verschillende vormen.
Het eerste bestand 192.168.000.004.51548-040.112.187.188.05228 bevat de gegevens die zijn overgedragen van de host waarop het werd uitgevoerd via de geselecteerde poort naar de externe host via de aangegeven poort.
2. Navigatiedetails controleren die zijn vastgelegd door TCPflow Linux
Stap 1
Om dit te controleren, kunnen we een andere terminal openen en een ping uitvoeren of op internet surfen, de browsegegevens die TCPflow vastlegt, worden daar weergegeven, we voeren het volgende uit:
sudo tcpflow -c
VERGROTEN
Stap 2
Met TCPflow kunnen we al het verkeer op een enkele poort vastleggen, zoals poort 80 (HTTP), in dit geval kunt u de HTTP-headers zien gevolgd door de inhoud, we voeren het volgende uit:
sudo tcpflow-poort 80
VERGROTEN
Stap 3
We kunnen pakketten vastleggen van een specifieke netwerkinterface, met de parameter -i om de interfacenaam als volgt te specificeren:
sudo tcpflow -i enp0s3 poort 80Het is ook mogelijk om een bestemmingshost aan te geven door het IP-adres of de URL te nemen:
sudo tcpflow -c host www.solvetic.com
VERGROTEN
Stap 4
Het zal mogelijk zijn om alle processen van de scanners in te schakelen met de -a parameter:
sudo tcpflow -aStap 5
We kunnen een speciale scanner specificeren die moet worden ingeschakeld, de beschikbare scanners omvatten md5, http, netviz, tcpdemux en wifiviz, de te gebruiken opties zijn:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizStap 5
Als we de werkwoordmodus willen inschakelen, kunnen we een van de volgende opties uitvoeren:
sudo tcpflow -d 10 sudo tcpflow -v
VERGROTEN
Ten slotte, om toegang te krijgen tot de hulp van het hulpprogramma dat we uitvoeren:
man tcpflowZo stelt TCPflow ons in staat om op een alomvattende en volledige manier controle te hebben over alle TCP-processen in Linux-omgevingen.
