Tinklo srauto analizė tampa viena iš labiausiai paplitusių ir būtinų administravimo užduočių, neatsižvelgiant į organizacijos tipą, nes dėl netinkamos TCP konfigūracijos atsiras ryšio klaidų ir bus tvarkomi visi tinklo paketai.
TCP protokolas (perdavimo-valdymo-protokolas) yra vienas iš dažniausiai naudojamų protokolų tinklo aplinkoje, nes jis palengvina duomenų, kurie ateina arba patenka į IP adresą, administravimą, kad visas proceso tinklas būtų sėkmingai užbaigtas.
funkcijosKai kurios šio protokolo savybės yra šios:
- Palengvina duomenų srauto stebėjimą, išvengiant tinklo prisotinimo
- Leidžia suformuoti duomenis į įvairaus ilgio segmentus į IP protokolą
- Tai suteikia galimybę multipleksuoti duomenis, tai yra, leidžia iš skirtingų šaltinių gautą informaciją vienu metu cirkuliuoti.
Dabar yra keletas šio tinklo srauto analizės variantų, o „TCPflow“ įrankio dėka „Solvetic“ paaiškins, kaip jį įdiegti ir naudoti „Linux“ aplinkoje.
Kas yra TCPflow„Tcpflow“ įrankis buvo sukurtas kaip programa, kuri fiksuoja duomenis, perduodamus per TCP ryšius, ir saugo šiuos duomenis vėlesnei protokolo analizei ir derinimui.
Kiekvienas TCP srautas yra saugomas atitinkamame faile, todėl tipiškas TCP srautas bus saugomas dviejuose failuose, po vieną kiekvienam valdomam adresui.
Į jo funkcijų rinkinį įeina patobulinta papildinių sistema, leidžianti išspausti suspaustus HTTP ryšius, anuliuoti MIME kodavimą arba iškviesti trečiųjų šalių programas po apdorojimo ir daug daugiau parinkčių.
Praktinis TCPflow naudojimasKai kurie praktiniai TCPflow naudojimo būdai yra šie:
- Suprasti tinklo paketų srautus ir atlikti tinklo ekspertizę
- Atskleiskite HTTP seansų turinį
- Atkurkite tinklalapius, atsisiųstus per HTTP
- Išskleiskite kenkėjiškas programas, pristatytas su atsisiuntimo važiuojant kategorija
Dabar pažiūrėkime, kaip naudoti TCPflow
1. Kaip įdiegti „TCPflow“ „Linux“
1 žingsnis
Norėdami įdiegti TCPflow, turime vykdyti vieną iš šių komandų, priklausomai nuo naudojamo paskirstymo:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
DIDELIS
Įvedame raidę S, kad patvirtintume naudingumo programos atsisiuntimą ir įdiegimą.
2 žingsnis
Įdiegus „TCPflow“, bus galima jį paleisti su „superuser“ privilegijomis arba pasinaudoti „sudo“ komanda, „TCPflow“ klauso aktyvios sistemos tinklo sąsajos.
sudo tcpflow
DIDELIS
Tokiu atveju pamatysime, kad pasirinkta sąsaja yra enp0s3.
3 žingsnis
Pagal numatytuosius nustatymus „TCPflow“ visus užfiksuotus duomenis saugo failuose, kurių pavadinimai yra su tokia sintaksės forma:
sourceip.sourceport-destip.destport4 žingsnis
Mes galime sudaryti katalogų sąrašą, kad patikrintume, ar tcp srautas buvo užfiksuotas bet kuriame prieinamame faile, ir vykdome:
ls -l
DIDELIS
Kaip minėta anksčiau, kiekvienas TCP srautas yra saugomas savo faile, ten randame skirtingas formas.
Pirmajame faile 192.168.000.004.51548-040.112.187.188.05228 yra duomenys, perduoti iš pagrindinio kompiuterio, kuriame jis buvo paleistas, per pasirinktą prievadą į nuotolinį kompiuterį per nurodytą prievadą.
2. Kaip patikrinti „TCPflow Linux“ užfiksuotą navigacijos informaciją
1 žingsnis
Norėdami tai patikrinti, galime atidaryti kitą terminalą ir atlikti ping arba naršyti internete, ten bus atspindėta TCPflow fiksuojama naršymo informacija, vykdome šiuos veiksmus:
sudo tcpflow -c
DIDELIS
2 žingsnis
„TCPflow“ leidžia užfiksuoti visą srautą iš vieno prievado, pvz., 80 prievado (HTTP), šiuo atveju galite matyti HTTP antraštes, po kurių seka turinys, ir vykdome šiuos veiksmus:
„sudo tcpflow“ prievadas 80
DIDELIS
3 žingsnis
Mes galime užfiksuoti paketus iš konkrečios tinklo sąsajos su parametru -i, kad nurodytume sąsajos pavadinimą:
sudo tcpflow -i enp0s3 80 prievadasTaip pat galima nurodyti paskirties pagrindinį kompiuterį, paimant jo IP adresą arba URL:
sudo tcpflow -c priegloba www.solvetic.com
DIDELIS
4 žingsnis
Visus skaitytuvų procesus bus galima įjungti naudojant parametrą -a:
sudo tcpflow -a5 žingsnis
Mes galime nurodyti, kad būtų įjungtas specialus skaitytuvas, galimi skaitytuvai yra „md5“, „http“, „netviz“, „tcpdemux“ ir „wifiviz“. Naudojamos šios parinktys:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifiviz5 žingsnis
Jei norime įjungti veiksmažodžio režimą, galime atlikti bet kurią iš šių parinkčių:
sudo tcpflow -d 10 sudo tcpflow -v
DIDELIS
Galiausiai, norėdami pasiekti mūsų vykdomos priemonės pagalbą:
vyras tcpflowTaigi „TCPflow“ leidžia išsamiai ir išsamiai valdyti visus TCP procesus „Linux“ aplinkoje.
