Tcpflow - это утилита, которая захватывает данные, передаваемые как часть TCP-соединений (потоков),сохраняя удобные для анализа и отладки протокола данные.
Главное отличие tcpflow от других итсрументов — это фактический захват реальных данных и последующий сброс их в файл. Затем его можно использовать для других целей анализа. Еще одним преимуществом данной программы является эффективное восстановление сломанных пакетов, что немаловажно.
Кроме того, tcpflow имеет множество параметров фильтра:
Мы можем отфильтровать захват множеством разных способов. Обычно большинство способов сниффинга включают arp-отравление в качестве первого этапа. Тем не менее, tcpflow захватывает почти все данные без активного отравления подсети или сети.
Опции утилиты:
Syntax: tcpflow [options] [expression] [host]
-b: max number of bytes per flow to save
-c: console print only (don't create files)
-C: console print only, but without the display of source/dest header
-d: debug level; default is 1
-e: output each flow in alternating colors(Blue=client to server;Red=server to client;Green=Unknown)
-f: maximum number of file descriptors to use
-h: print this help message
-i: network interface on which to listen
-p: don't use promiscuous mode
-r: read packets from tcpdump output file
-s: strip non-printable characters (change to '.')
-v: verbose operation equivalent to -d 10
Источник опций:
Лабораторная работа 1: Основы
Эта лаборатория демонстрирует базовую консоль-протоколирование данных и от целевого компьютера.
Здесь наш целевой IP-адрес — 192.168.0.100.
Кроме того, domain / hostnames приемлемы.
command tcpflow -ce host 192.168.0.100<your target here>
Примечание. Если вы используете какой-либо другой интерфейс, обязательно укажите -i и соответствующий интерфейс.
Предположим, нам нужен весь HTTP-трафик в сети,
command: tcpflow -ce port 80
Мы также можем использовать логические сравнения во время захвата.
Например, мы хотим видеть весь HTTP & https-трафик от & до хоста, мы выдаем следующую команду:
Command: tcpflow -ce host 192.168.0.100<your target> and port 80 or port 443.
Здесь команда выбирает хост «192.168.0.100», выполняет операцию «and» для условия: порт 80 «or» порт 443.
В частности, трафик HTTP или https с и на хост (192.168.0.100) фиксируется и отображается.
Помните, что HTTP работает на порту 80 и https на 443.
Лабораторная работа 2: Дамп данных в локальную папку
Эта лабораторка демонстрирует сброс всех данных между объектом.
Tcpflow дампит все данные в текущую рабочую папку (выполните команду: pwd, чтобы узнать текущий текущий рабочий каталог).
Итак, давайте создадим папку для сброса данных, а затем выполните tcpflow.
Шаг 1. Создайте новый каталог
Command: mkdir tcpflowdata<your name here>
Шаг 2: переход в новый каталог
Command: cd tcpflowdata<yourname>
Шаг 3: выполните tcpflow
Command: tcpflow host 192.168.0.103<your target here>
Вы можете увидеть все файлы, которые выгрузили в каталог с хоста, который мы указали в качестве начала имени файла.
Преимущество этого инструмента заключается в том, что любые четкие текстовые данные, такие как HTTP-аутентификация или telnet-соединение или smb-аутентификация и т. д., будут видны вам.
Как только вы дампите весь трафик, вы можете просмотреть его позже и проанализировать его в более поздний момент времени и еще много чего.
Вы можете загрузить его в Wireshark или любой инструмент, например xplico для форензики.
Попробуйте сами, запустите tcpflow и перейдите на любой HTTP-сайт (а не в facebook или twitter), возможно, на свою локальную страницу входа в маршрутизатор. Дайте пароль и проанализируйте вывод tcpflow.
Главное отличие tcpflow от других итсрументов — это фактический захват реальных данных и последующий сброс их в файл. Затем его можно использовать для других целей анализа. Еще одним преимуществом данной программы является эффективное восстановление сломанных пакетов, что немаловажно.
Кроме того, tcpflow имеет множество параметров фильтра:
Мы можем отфильтровать захват множеством разных способов. Обычно большинство способов сниффинга включают arp-отравление в качестве первого этапа. Тем не менее, tcpflow захватывает почти все данные без активного отравления подсети или сети.
Опции утилиты:
Syntax: tcpflow [options] [expression] [host]
-b: max number of bytes per flow to save
-c: console print only (don't create files)
-C: console print only, but without the display of source/dest header
-d: debug level; default is 1
-e: output each flow in alternating colors(Blue=client to server;Red=server to client;Green=Unknown)
-f: maximum number of file descriptors to use
-h: print this help message
-i: network interface on which to listen
-p: don't use promiscuous mode
-r: read packets from tcpdump output file
-s: strip non-printable characters (change to '.')
-v: verbose operation equivalent to -d 10
Источник опций:
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Лабораторная работа 1: Основы
Эта лаборатория демонстрирует базовую консоль-протоколирование данных и от целевого компьютера.
Здесь наш целевой IP-адрес — 192.168.0.100.
Кроме того, domain / hostnames приемлемы.
command tcpflow -ce host 192.168.0.100<your target here>
Примечание. Если вы используете какой-либо другой интерфейс, обязательно укажите -i и соответствующий интерфейс.
Предположим, нам нужен весь HTTP-трафик в сети,
command: tcpflow -ce port 80
Мы также можем использовать логические сравнения во время захвата.
Например, мы хотим видеть весь HTTP & https-трафик от & до хоста, мы выдаем следующую команду:
Command: tcpflow -ce host 192.168.0.100<your target> and port 80 or port 443.
Здесь команда выбирает хост «192.168.0.100», выполняет операцию «and» для условия: порт 80 «or» порт 443.
В частности, трафик HTTP или https с и на хост (192.168.0.100) фиксируется и отображается.
Помните, что HTTP работает на порту 80 и https на 443.
Лабораторная работа 2: Дамп данных в локальную папку
Эта лабораторка демонстрирует сброс всех данных между объектом.
Tcpflow дампит все данные в текущую рабочую папку (выполните команду: pwd, чтобы узнать текущий текущий рабочий каталог).
Итак, давайте создадим папку для сброса данных, а затем выполните tcpflow.
Шаг 1. Создайте новый каталог
Command: mkdir tcpflowdata<your name here>
Шаг 2: переход в новый каталог
Command: cd tcpflowdata<yourname>
Шаг 3: выполните tcpflow
Command: tcpflow host 192.168.0.103<your target here>
Вы можете увидеть все файлы, которые выгрузили в каталог с хоста, который мы указали в качестве начала имени файла.
Преимущество этого инструмента заключается в том, что любые четкие текстовые данные, такие как HTTP-аутентификация или telnet-соединение или smb-аутентификация и т. д., будут видны вам.
Как только вы дампите весь трафик, вы можете просмотреть его позже и проанализировать его в более поздний момент времени и еще много чего.
Вы можете загрузить его в Wireshark или любой инструмент, например xplico для форензики.
Попробуйте сами, запустите tcpflow и перейдите на любой HTTP-сайт (а не в facebook или twitter), возможно, на свою локальную страницу входа в маршрутизатор. Дайте пароль и проанализируйте вывод tcpflow.