Дамп сетевого трафика в Linux
Life-Hack [Жизнь-Взлом]/ХакингПри криминалистической экспертизе, а в частности при создании дампа сетевого трафика в Linux используются несколько утилит: прежде всего — консольная tcpdump, классика жанра Wireshark и опенсорсный фреймворк XPLICO, хотя последний больше используется для последующего анализа данных, чем для их первоначального сбора.
Начнем с tcpdump. Базовый вызов команды выглядит следующим образом:
$ tcpdump <опции> <фильтр>
А вот некоторые наиболее важные опции:
- -i интерфейс — задает интерфейс, с которого необходимо анализировать трафик;
- -n — отключает преобразование IP в доменные имена;
- -e — включает вывод данных канального уровня (например, MAC-адреса);
- -v — вывод дополнительной информации (TTL, опции IP);
- -w имя_файла — задает имя файла, в который нужно сохранять собранную информацию (дамп);
- -r имя_файла — чтение (загрузка) дампа из заданного файла;
- -q — переводит tcpdump в «бесшумный режим», в котором пакет анализируется на транспортном уровне (протоколы TCP, UDP, ICMP), а не на сетевом (протокол IP).
Дампим весь входящий трафик, идущий из интернета на наш сервер:
$ tcpdump -s 0 -i eth0 -n -nn -ttt dst host <ip-адрес нашего хоста> -w forensic_cap.pcap
Пример создания дампа сетевого трафика по протоколам FTP или SSH на интерфейсе eth0:
$ tcpdump -s 0 port ftp or ssh -i eth0 -w forensic_cap.pcap
Дампим вообще все, что идет на интерфейс eth0:
$ tcpdump -w forensic_cap -i eth0
Ещё одна годная для наших целей утилита — это TCPflow. По сути, более продвинутый вариант tcpdump, который поддерживает еще больше параметров фильтрации и возможность восстанавливать «сломанные» пакеты.
Если TCPflow по умолчанию нет в системе, то для начала ставь пакет tcpflow.
Далее базовый синтаксис команды выглядит так:
$ tcpflow [опции] [выражение] [хост]
А вот описание опций:
- -c — только консольная печать (не создавать файлы);
- -d — уровень отладки (по умолчанию 1);
- -e — выводить каждый поток чередующимися цветами (синий — клиент-сервер, красный — сервер-клиент, зеленый — неизвестно);
- -i — сетевой интерфейс для прослушивания;
- -r — чтение пакетов из выходного файла tcpdump;
- -s — удалить непечатаемые символы (будут заменяться точками).
Пример сбора данных, идущих из внешней сети на наш сервер:з
$ tcpflow -ce host <IP-адрес нашего хоста>
Собираем весь трафик HTTP в нашей сети:
$ tcpflow -ce port 80
Дамп данных сетевого потока в локальную папку:
$ mkdir tcpflowdata $ cd tcpflowdata $ tcpflow host <IP-адрес целевой машины>
Теперь в директорию /tcpflowdata будут складываться файлы с содержанием сетевых подключений. Все, что нам потом останется сделать, — это перекинуть их для анализа в парсер.
