TCPflow - Linux-da tor traffigini derňäň we düzediň
TCPflow, Linux ýaly Unix ýaly ulgamlarda tor trafigini seljermek üçin erkin, açyk çeşme, güýçli buýruk setiri. TCP birikmelerinden alnan ýa-da geçirilen maglumatlary ele alýar we protokol derňewine we düzedişlerine mümkinçilik berýän peýdaly formatda soňraky derňew üçin faýlda saklaýar.
Aslynda simden ýa-da saklanan faýldan paketleri gaýtadan işleýänligi üçin tcpdump ýaly gural. Kärdeşi tarapyndan goldanýan şol bir güýçli süzgüç aňlatmalaryny goldaýar. Onlyeke-täk tapawut, tcpflow ähli TCP paketlerini tertibe salýar we soňraky derňew üçin her akymy aýratyn faýlda (akymyň her ugry üçin faýl) ýygnaýar.
Onuň aýratynlyk toplumy, gysylan HTTP birikmelerini gysmak, MIME kodlamagy ýatyrmak ýa-da gaýtadan işlemek üçin üçünji tarap programmalaryny çagyrmak üçin ösen plugin ulgamyny öz içine alýar.
Tcpflow üçin tor paket akymlaryna düşünmegi öz içine alýan, şeýle hem tor kazyýet işini ýerine ýetirmek we HTTP sessiýalarynyň mazmunyny açmak üçin köp ulanylýan ýagdaýlar bar.
Linux ulgamlarynda TCPflowy nädip gurmaly
TCPflow esasy GNU/Linux paýlamalarynyň resmi ammarlarynda bar, görkezilişi ýaly paket dolandyryjyňyzy ulanyp gurup bilersiňiz.
$ sudo apt install tcpflow #Debian/Ubuntu $ sudo yum install tcpflow #CentOS/RHEL $ sudo dnf install tcpflow #Fedora 22+
Tcpflow guranyňyzdan soň, ony superuser artykmaçlyklary bilen işledip bilersiňiz, ýogsam sudo buýrugyny ulanyp bilersiňiz. Işjeň tor interfeýsinde diňleýändigine üns beriň (mysal üçin enp0s3).
$ sudo tcpflow tcpflow: listening on enp0s3
Düzgüne görä, tcpflow tutulan maglumatlaryň hemmesini atlary bolan faýllarda saklaýar (wagt belligi ýaly käbir opsiýalary ulansaňyz başgaça bolup biler).
sourceip.sourceport-destip.destport 192.168.043.031.52920-216.058.210.034.00443
Indi tcp akymynyň haýsydyr bir faýlda tutulandygyny ýa-da ýokdugyny görmek üçin katalog sanawyny edeliň.
$ ls -1 total 20 -rw-r--r--. 1 root root 808 Sep 19 12:49 192.168.043.031.52920-216.058.210.034.00443 -rw-r--r--. 1 root root 59 Sep 19 12:49 216.058.210.034.00443-192.168.043.031.52920
Öň hem belläp geçişimiz ýaly, her TCP akymy öz faýlynda saklanýar. Aboveokardaky çykyşdan, iki ters tarapda tcpflow-y görkezýän üç sany transkripsiýa faýlynyň bardygyny görüp bilersiňiz, bu ýerde birinji faýlda çeşme IP we ikinji faýlda maksat IP we tersine.
Birinji faýlda 192.168.043.031.52920-216.058.210.034.00443 faýly 443-nji port arkaly 216.058.210.034 (uzakdaky host) kabul etmek üçin 52920 portuň üsti bilen 192.168.043.031 öý eýesinden (tcpflow işleýän ýerlihost) iberilen maglumatlary öz içine alýar.
Ikinji faýl 216.058.210.034.00443-192.168.043.031.52920 öý eýesi 216.058.210.034 (uzakdaky host) 443 port arkaly 192.168.043.031 (tcpflow işleýän ýerlihost) 52920 porty arkaly iberilen maglumatlary öz içine alýar.
Şeýle hem, programma düzülişi, işleýän kompýuter we her tcp baglanyşygynyň ýazgysy ýaly programma barada maglumatlary öz içine alýan XML hasabaty bar.
Üns beren bolmagyňyz mümkin, tcpflow transkripsiýa faýllaryny häzirki katalogda saklaýar. -o opsiýasy transkripsiýa faýllarynyň ýazyljak çykyş katalogyny kesgitlemäge kömek edip biler.
$ sudo tcpflow -o tcpflow_files $ sudo ls -l tcpflow_files total 32 -rw-r--r--. 1 root root 1665 Sep 19 12:56 157.240.016.035.00443-192.168.000.103.45986 -rw-r--r--. 1 root root 45 Sep 19 12:56 169.044.082.101.00443-192.168.000.103.55496 -rw-r--r--. 1 root root 2738 Sep 19 12:56 172.217.166.046.00443-192.168.000.103.39954 -rw-r--r--. 1 root root 68 Sep 19 12:56 192.168.000.102.00022-192.168.000.103.42436 -rw-r--r--. 1 root root 573 Sep 19 12:56 192.168.000.103.39954-172.217.166.046.00443 -rw-r--r--. 1 root root 4067 Sep 19 12:56 192.168.000.103.45986-157.240.016.035.00443 -rw-r--r--. 1 root root 38 Sep 19 12:56 192.168.000.103.55496-169.044.082.101.00443 -rw-r--r--. 1 root root 3159 Sep 19 12:56 report.xml
Şeýle hem, paketleriň mazmunyny alnan ýaly faýllara saklamazdan, aşakdaky ýaly -c baýdagyny ulanyp, stdout görnüşinde çap edip bilersiňiz.
Muny netijeli barlamak üçin ikinji terminaly açyň we ping işlediň ýa-da internete göz aýlaň. Ping jikme-jikliklerini ýa-da brauzer maglumatlaryňyzy tcpflow tarapyndan düşürilişini görmeli.
$ sudo tcpflow -c
Belli bir portdaky ähli traffigi, mysal üçin 80-nji port (HTTP) almak mümkin. HTTP trafigi bolan ýagdaýynda, -c wyklýuçateli aýrylsa, stdoutdaky ýa-da bir faýldaky mazmuny yzarlaýan HTTP sözbaşylaryny görüp bilersiňiz.
$ sudo tcpflow port 80
Belli bir tor interfeýsinden paketleri almak üçin, interfeýsiň adyny görkezmek üçin -i baýdagyny ulanyň.
$ sudo tcpflow -i eth0 port 80
Şeýle hem, maksatly öý eýesini görkezip bilersiňiz (kabul edilen bahalar IP adresi, host ady ýa-da domenler).
$ sudo tcpflow -c host 192.68.43.1 OR $ sudo tcpflow -c host www.google.com
Schli skanerleri ulanyp, -a baýdagy bilen ähli işlemegi işjeňleşdirip bilersiňiz, bu -e ähli wyklýuçatele deňdir.
$ sudo tcpflow -a OR $ sudo tcpflow -e all
Belli bir skaneri hem işjeňleşdirip bolýar; elýeterli skanerlere md5, http, netviz, tcpdemux we wifiviz girýär (her skaner barada jikme-jik maglumat görmek üçin tcpflow -H işlediň).
$ sudo tcpflow -e http OR $ sudo tcpflow -e md5 OR $ sudo tcpflow -e netviz OR $ sudo tcpflow -e tcpdemux OR $ sudo tcpflow -e wifiviz
Aşakdaky mysal, tcpdemux-dan başga ähli skanerleri nädip işletmelidigini görkezýär.
$ sudo tcpflow -a -x tcpdemux
TCPflow, adatça, paketleri almazdan ozal tor interfeýsini aç-açan re intoime salmaga synanyşýar. Görkezilişi ýaly -p baýdagyny ulanyp, munuň öňüni alyp bilersiňiz.
$ sudo tcpflow -p -i eth0
Tcpdump pcap faýlyndan paketleri okamak üçin -r baýdagyny ulanyň.
$ sudo tcpflow -f file.pcap
-v ýa-da -d 10 opsiýalaryny ulanyp, söz düzümini açyp bilersiňiz.
$ sudo tcpflow -v OR $ sudo tcpflow -d 10
Üns beriň: tcpflow-yň bir çäklendirmesi, häzirki wagtda IP böleklerine düşünmeýär, şeýlelik bilen IP böleklerini öz içine alýan TCP birikmeleriniň bir bölegi hökmünde iberilen maglumatlar dogry ele alynmaz.
Has giňişleýin maglumat we ulanyş opsiýalary üçin tcpflow adam sahypasyna serediň.
$ man tcpflow
TCPflow Github ammary: https://github.com/simsong/tcpflow
Bularyň hemmesi häzirlikçe! TCPflow, tor paket akymlaryna düşünmek we tor kazyýet işini ýerine ýetirmek we ş.m. üçin peýdaly TCP akym ýazgysydyr. Synap görüň we bu hakda pikirleriňizi teswirlerde biziň bilen paýlaşyň.