Tcpflow — Захват данных.

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • У нас появилось зеркало в сети Tor, присоединяйтесь!
    Для входа используйте следующий url: http://darktimeriaou2b2.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

ФСБ

Зарегистрированный

ФСБ

Зарегистрированный
17 Ноя 2020
61
4
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Tcpflow - это утилита, которая захватывает данные, передаваемые как часть TCP-соединений (потоков),сохраняя удобные для анализа и отладки протокола данные.

1wUyMbZDI7c.jpg

Главное отличие tcpflow от других итсрументов — это фактический захват реальных данных и последующий сброс их в файл. Затем его можно использовать для других целей анализа. Еще одним преимуществом данной программы является эффективное восстановление сломанных пакетов, что немаловажно.

Кроме того, tcpflow имеет множество параметров фильтра:

Мы можем отфильтровать захват множеством разных способов. Обычно большинство способов сниффинга включают arp-отравление в качестве первого этапа. Тем не менее, tcpflow захватывает почти все данные без активного отравления подсети или сети.

HetjXdePy-I.jpg

Опции утилиты:
Syntax: tcpflow [options] [expression] [host]

-b: max number of bytes per flow to save

-c: console print only (don't create files)

-C: console print only, but without the display of source/dest header

-d: debug level; default is 1

-e: output each flow in alternating colors(Blue=client to server;Red=server to client;Green=Unknown)

-f: maximum number of file descriptors to use

-h: print this help message

-i: network interface on which to listen

-p: don't use promiscuous mode

-r: read packets from tcpdump output file

-s: strip non-printable characters (change to '.')

-v: verbose operation equivalent to -d 10

Источник опций:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


Лабораторная работа 1: Основы
Эта лаборатория демонстрирует базовую консоль-протоколирование данных и от целевого компьютера.

Здесь наш целевой IP-адрес — 192.168.0.100.

Кроме того, domain / hostnames приемлемы.

command tcpflow -ce host 192.168.0.100<your target here>

Примечание. Если вы используете какой-либо другой интерфейс, обязательно укажите -i и соответствующий интерфейс.

SxqQPVvnrCM.jpg

Предположим, нам нужен весь HTTP-трафик в сети,

command: tcpflow -ce port 80

DLDZDkJvKkM.jpg

Мы также можем использовать логические сравнения во время захвата.

Например, мы хотим видеть весь HTTP & https-трафик от & до хоста, мы выдаем следующую команду:

Command: tcpflow -ce host 192.168.0.100<your target> and port 80 or port 443.

Здесь команда выбирает хост «192.168.0.100», выполняет операцию «and» для условия: порт 80 «or» порт 443.

В частности, трафик HTTP или https с и на хост (192.168.0.100) фиксируется и отображается.

Помните, что HTTP работает на порту 80 и https на 443.

YyMymYTry6w.jpg

Лабораторная работа 2: Дамп данных в локальную папку
Эта лабораторка демонстрирует сброс всех данных между объектом.

Tcpflow дампит все данные в текущую рабочую папку (выполните команду: pwd, чтобы узнать текущий текущий рабочий каталог).

Итак, давайте создадим папку для сброса данных, а затем выполните tcpflow.

Шаг 1. Создайте новый каталог
Command: mkdir tcpflowdata<your name here>

Шаг 2: переход в новый каталог
Command: cd tcpflowdata<yourname>

Шаг 3: выполните tcpflow
Command: tcpflow host 192.168.0.103<your target here>

NaV5ZShPqOY.jpg

Вы можете увидеть все файлы, которые выгрузили в каталог с хоста, который мы указали в качестве начала имени файла.

pskQE85e_6Y.jpg

Преимущество этого инструмента заключается в том, что любые четкие текстовые данные, такие как HTTP-аутентификация или telnet-соединение или smb-аутентификация и т. д., будут видны вам.

Как только вы дампите весь трафик, вы можете просмотреть его позже и проанализировать его в более поздний момент времени и еще много чего.

Вы можете загрузить его в Wireshark или любой инструмент, например xplico для форензики.

Попробуйте сами, запустите tcpflow и перейдите на любой HTTP-сайт (а не в facebook или twitter), возможно, на свою локальную страницу входа в маршрутизатор. Дайте пароль и проанализируйте вывод tcpflow.
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2021

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя