Tcpflow — Захват данных.

Tcpflow — Захват данных.

Security

Tcpflow - это утилита, которая захватывает данные, передаваемые как часть TCP-соединений (потоков),сохраняя удобные для анализа и отладки протокола данные.

Security

Главное отличие tcpflow от других инсрументов — это фактический захват реальных данных и последующий сбром их в файл. Затем его можно использовать для других целей анализа. Еще одним преимуществом данной программы является эффективное восстановление сломанных пакетов, что немаловажно.

Кроме того, tcpflow имеет множество параметров фильтра:

Мы можем отфильтровать захват множеством разных способов. Обычно большинство способов сниффинга включают arp-отравление в качестве первого этапа. Тем не менее, tcpflow захватывает почти все данные без активного отравления подсети или сети.

Security

Опции утилиты:

Syntax: tcpflow [options] [expression] [host]

-b: max number of bytes per flow to save

-c: console print only (don't create files)

-C: console print only, but without the display of source/dest header

-d: debug level; default is 1

-e: output each flow in alternating colors(Blue=client to server;Red=server to client;Green=Unknown)

-f: maximum number of file descriptors to use

-h: print this help message

-i: network interface on which to listen

-p: don't use promiscuous mode

-r: read packets from tcpdump output file

-s: strip non-printable characters (change to '.')

-v: verbose operation equivalent to -d 10

Источник опций: https://github.com/simsong/tcpflow

Лабораторная работа 1: Основы

Эта лаборатория демонстрирует базовую консоль-протоколирование данных и от целевого компьютера.

Здесь наш целевой IP-адрес — 192.168.0.100.

Кроме того, domain / hostnames приемлемы.

command tcpflow -ce host 192.168.0.100<your target here>

Примечание. Если вы используете какой-либо другой интерфейс, обязательно укажите -i и соответствующий интерфейс.

Security

Предположим, нам нужен весь HTTP-трафик в сети,

command: tcpflow -ce port 80

Security

Мы также можем использовать логические сравнения во время захвата.

Например, мы хотим видеть весь HTTP & https-трафик от & до хоста, мы выдаем следующую команду:

Command: tcpflow -ce host 192.168.0.100<your target> and port 80 or port 443.

Здесь команда выбирает хост «192.168.0.100», выполняет операцию «and» для условия: порт 80 «or» порт 443.

В частности, трафик HTTP или https с и на хост (192.168.0.100) фиксируется и отображается.

Помните, что HTTP работает на порту 80 и https на 443.

Security

Лабораторная работа 2: Дамп данных в локальную папку

Эта лабораторка демонстрирует сброс всех данных между объектом.

Tcpflow дампит все данные в текущую рабочую папку (выполните команду: pwd, чтобы узнать текущий текущий рабочий каталог).

Итак, давайте создадим папку для сброса данных, а затем выполните tcpflow.

Шаг 1. Создайте новый каталог

Command: mkdir tcpflowdata<your name here>


Шаг 2: переход в новый каталог

Command: cd tcpflowdata<yourname>


Шаг 3: выполните tcpflow

Command: tcpflow host 192.168.0.103<your target here>

Security

Вы можете увидеть все файлы, которые выгрузили в каталог с хоста, который мы указали в качестве начала имени файла.

Security

Преимущество этого инструмента заключается в том, что любые четкие текстовые данные, такие как HTTP-аутентификация или telnet-соединение или smb-аутентификация и т. д., будут видны вам.

Как только вы дампите весь трафик, вы можете просмотреть его позже и проанализировать его в более поздний момент времени и еще много чего.

Вы можете загрузить его в Wireshark или любой инструмент, например xplico для форензики.

Попробуйте сами, запустите tcpflow и перейдите на любой HTTP-сайт (а не в facebook или twitter), возможно, на свою локальную страницу входа в маршрутизатор. Дайте пароль и проанализируйте вывод tcpflow.

Report Page