L'analisi del traffico di rete diventa una delle attività di amministrazione più comuni e necessarie indipendentemente dal tipo di organizzazione poiché una configurazione TCP errata causerà errori di connessione e gestione di tutti i pacchetti di rete.
Il protocollo TCP (Transmission-Control-Protocol), è uno dei protocolli più utilizzati negli ambienti di rete poiché facilita l'amministrazione dei dati che arrivano o vanno all'indirizzo IP in modo che l'intera rete di processi completi con successo.
caratteristicheAlcune delle caratteristiche di questo protocollo sono:
- Facilita il monitoraggio del flusso di dati evitando la saturazione della rete
- Consente di formare i dati in segmenti di lunghezza variabile da consegnare al protocollo IP
- Dà la possibilità di multiplexare i dati, cioè fa sì che le informazioni provenienti da fonti diverse possano circolare contemporaneamente.
Ora, ci sono diverse opzioni per analizzare questo traffico di rete ed è grazie all'utilità TCPflow che Solvetic spiegherà come installarlo e utilizzarlo in ambienti Linux.
Cos'è TCPflow?Lo strumento tcpflow è stato sviluppato come un programma che acquisisce i dati trasmessi tramite connessioni TCP e quindi archivia questi dati per l'analisi e il debug del protocollo successivi.
Ciascun flusso TCP è archiviato nel rispettivo file, quindi il flusso TCP tipico verrà archiviato in due file, uno per ciascun indirizzo gestito.
Il suo set di funzionalità include un sistema plug-in avanzato che consente di decomprimere le connessioni HTTP compresse, annullare la codifica MIME o richiamare programmi di terze parti per la post-elaborazione e molte altre opzioni.
Usi pratici TCPflowAlcuni degli usi pratici in cui TCPflow è utile sono:
- Comprendere i flussi di pacchetti di rete ed eseguire analisi di rete
- Rivela il contenuto delle sessioni HTTP
- Ricostruisci le pagine web scaricate tramite HTTP
- Estrai il malware fornito con la categoria di download drive-by
Ora vediamo come usare TCPflow
1. Come installare TCPflow su Linux
Passo 1
Per installare TCPflow dobbiamo eseguire uno dei seguenti comandi a seconda della distribuzione utilizzata:
sudo apt install tcpflow (Debian / Ubuntu) sudo yum install tcpflow (CentOS / RHEL) sudo dnf install tcpflow (Fedora)
INGRANDIRE
Inseriamo la lettera S per confermare il download e l'installazione dell'utility.
Passo 2
Dopo aver installato TCPflow, sarà possibile eseguirlo con privilegi di superutente oppure utilizzare il comando sudo, TCPflow resta in ascolto sull'interfaccia di rete attiva del sistema.
sudo tcpflow
INGRANDIRE
In questo caso vedremo che l'interfaccia selezionata è enp0s3.
Passaggio 3
Per impostazione predefinita, TCPflow archivia tutti i dati acquisiti in file che hanno nomi nel modulo con la seguente sintassi:
sourceip.sourceport-destip.destportPassaggio 4
Possiamo creare un elenco di directory per verificare se il flusso tcp è stato catturato in qualsiasi file disponibile, eseguiamo:
ls -l
INGRANDIRE
Come accennato in precedenza, ogni flusso TCP è memorizzato in un proprio file, lì troviamo diverse forme.
Il primo file 192.168.000,004.51548-040.112.187.188.05228 ospita i dati trasferiti dall'host su cui è stato eseguito tramite la porta selezionata all'host remoto tramite la porta indicata.
2. Come controllare i dettagli di navigazione acquisiti da TCPflow Linux
Passo 1
Per verificare ciò, possiamo aprire un altro terminale ed eseguire un ping o navigare in Internet, i dettagli di navigazione che TCPflow sta catturando si rifletteranno lì, eseguiamo quanto segue:
sudo tcpflow -c
INGRANDIRE
Passo 2
TCPflow ci consente di catturare tutto il traffico su una singola porta, come la porta 80 (HTTP), in questo caso, puoi vedere le intestazioni HTTP seguite dal contenuto, eseguiamo quanto segue:
sudo tcpflow porta 80
INGRANDIRE
Passaggio 3
Possiamo catturare pacchetti da una specifica interfaccia di rete, con il parametro -i per specificare il nome dell'interfaccia in questo modo:
sudo tcpflow -i enp0s3 porta 80È anche possibile indicare un host di destinazione prendendo il suo indirizzo IP o il suo URL:
sudo tcpflow -c host www.solvetic.com
INGRANDIRE
Passaggio 4
Sarà possibile abilitare tutti i processi degli scanner con il parametro -a:
sudo tcpflow -aPassaggio 5
Possiamo specificare uno scanner speciale da abilitare, gli scanner disponibili includono md5, http, netviz, tcpdemux e wifiviz, le opzioni da utilizzare sono:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizPassaggio 5
Se vogliamo abilitare la modalità verb, possiamo eseguire una delle seguenti opzioni:
sudo tcpflow -d 10 sudo tcpflow -v
INGRANDIRE
Infine, per accedere all'help dell'utility eseguiamo:
uomo tcpflowPertanto, TCPflow ci consente di avere il controllo su tutti i processi TCP in ambienti Linux in modo completo e completo.
