Kötü bir TCP yapılandırması bağlantı hatalarına ve tüm ağ paketlerinin yönetimine neden olacağından, ağ trafiğinin analizi, organizasyon türünden bağımsız olarak en yaygın ve gerekli yönetim görevlerinden biri haline gelir.
TCP protokolü (Transmission-Control-Protocol), tüm süreç ağının başarıyla tamamlanması için IP adresine gelen veya giden verilerin yönetimini kolaylaştırdığından ağ ortamlarında en çok kullanılan protokollerden biridir.
özellikleriBu protokolün bazı özellikleri şunlardır:
- Ağ doygunluğunu önleyerek veri akışı izlemeyi kolaylaştırır
- Verilerin IP protokolüne iletilmek üzere değişen uzunlukta segmentler halinde oluşturulmasına izin verir
- Veriyi çoğullama imkanı verir, yani farklı kaynaklardan gelen bilgilerin aynı anda dolaşıma girmesini sağlar.
Şimdi, bu ağ trafiğini analiz etmek için birkaç seçenek var ve bu TCPflow yardımcı programı sayesinde Solvetic, Linux ortamlarında nasıl kurulacağını ve kullanılacağını açıklayacak.
TCPflow nedirtcpflow aracı, TCP bağlantıları aracılığıyla iletilen verileri yakalayan ve daha sonra bu verileri daha sonraki protokol analizi ve hata ayıklama için depolayan bir program olarak geliştirilmiştir.
Her TCP akışı kendi ilgili dosyasında saklanır, bu nedenle tipik TCP akışı, yönetilen her adres için bir tane olmak üzere iki dosyada saklanır.
Özellikler kümesi, sıkıştırılmış HTTP bağlantılarının sıkıştırılmasını açmaya, MIME kodlamasını geri almaya veya son işlem için üçüncü taraf programlarını çağırmaya ve daha birçok seçeneğe izin veren gelişmiş bir eklenti sistemi içerir.
Pratik kullanım TCPflowTCPflow'un yararlı olduğu bazı pratik kullanımlar şunlardır:
- Ağ paketi akışlarını anlayın ve ağ adli işlemlerini gerçekleştirin
- HTTP oturumlarının içeriğini ortaya çıkarın
- HTTP aracılığıyla indirilen web sayfalarını yeniden oluşturun
- Arabayla indirilenler kategorisiyle sunulan kötü amaçlı yazılımları ayıklayın
Şimdi TCPflow'un nasıl kullanılacağını görelim
1. Linux'ta TCPflow nasıl kurulur
Aşama 1
TCPflow'u kurmak için kullanılan dağıtıma bağlı olarak aşağıdaki komutlardan birini yürütmeliyiz:
sudo apt tcpflow kurulumu (Debian / Ubuntu) sudo yum tcpflow kurulumu (CentOS / RHEL) sudo dnf tcpflow kurulumu (Fedora)
BÜYÜT
Yardımcı programın indirilmesini ve kurulumunu onaylamak için S harfini giriyoruz.
Adım 2
TCPflow'u kurduktan sonra, süper kullanıcı ayrıcalıklarıyla çalıştırmak veya sudo komutunu kullanmak mümkün olacaktır, TCPflow sistemin aktif ağ arayüzünü dinler.
sudo tcpflow
BÜYÜT
Bu durumda seçilen arayüzün enp0s3 olduğunu göreceğiz.
Aşama 3
Varsayılan olarak, TCPflow, yakalanan tüm verileri, aşağıdaki sözdizimiyle formda adları olan dosyalarda depolar:
sourceip.sourceport-destip.destport4. Adım
Mevcut herhangi bir dosyada tcp akışının yakalanıp yakalanmadığını kontrol etmek için bir dizin listesi yapabiliriz, şunu yürütürüz:
ls -l
BÜYÜT
Daha önce de belirtildiği gibi, her TCP akışı kendi dosyasında saklanır, orada farklı formlar buluruz.
İlk dosya 192.168.000.004.51548-040.112.187.188.05228, üzerinde çalıştırıldığı ana bilgisayardan seçilen bağlantı noktası üzerinden belirtilen bağlantı noktası aracılığıyla uzak ana bilgisayara aktarılan verileri barındırır.
2. TCPflow Linux tarafından yakalanan gezinme ayrıntıları nasıl kontrol edilir
Aşama 1
Bunu kontrol etmek için başka bir terminal açabilir ve bir ping gerçekleştirebilir veya internette gezinebiliriz, TCPflow'un yakaladığı tarama ayrıntıları oraya yansıtılacaktır, aşağıdakileri uygularız:
sudo tcpflow -c
BÜYÜT
Adım 2
TCPflow, 80 numaralı bağlantı noktası (HTTP) gibi tüm trafiği tek bir bağlantı noktasında yakalamamıza izin verir, bu durumda HTTP başlıklarını ve ardından içeriği görebilirsiniz, aşağıdakileri uygularız:
sudo tcpflow bağlantı noktası 80
BÜYÜT
Aşama 3
Arayüz adını şu şekilde belirtmek için -i parametresiyle belirli bir ağ arayüzünden paketleri yakalayabiliriz:
sudo tcpflow -i enp0s3 bağlantı noktası 80IP adresini veya URL'sini alarak bir hedef ana bilgisayarı belirtmek de mümkündür:
sudo tcpflow -c ana bilgisayar www.solvetic.com
BÜYÜT
4. Adım
-a parametresi ile tarayıcıların tüm işlemlerini etkinleştirmek mümkün olacaktır:
sudo tcpflow -aAdım 5
Etkinleştirilecek özel bir tarayıcı belirtebiliriz, mevcut tarayıcılar arasında md5, http, netviz, tcpdemux ve wifiviz bulunur, kullanılacak seçenekler şunlardır:
sudo tcpflow -e http sudo tcpflow -e md5 sudo tcpflow -e netviz sudo tcpflow -e tcpdemux sudo tcpflow -e wifivizAdım 5
Fiil modunu etkinleştirmek istiyorsak, aşağıdaki seçeneklerden herhangi birini uygulayabiliriz:
sudo tcpflow -d 10 sudo tcpflow -v
BÜYÜT
Son olarak, yürüttüğümüz yardımcı programın yardımına erişmek için:
adam tcpflowBöylece TCPflow, Linux ortamlarındaki tüm TCP süreçleri üzerinde kapsamlı ve eksiksiz bir şekilde kontrol sahibi olmamızı sağlar.
