1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Дамп сетевого трафика в Linux

Тема в разделе "Чужие", создана пользователем Roman888, 1 дек 2019 в 12:32.

  1. TopicStarter Overlay
    Roman888

    Roman888

    Регистрация:
    20 авг 2018
    Сообщения:
    14
    Симпатии:
    4
    При криминалистической экспертизе, а в частности при создании дампа сетевого трафика в Linux используются несколько утилит: прежде всего — консольная tcpdump, классика жанра Wireshark и опенсорсный фреймворк Войти или зарегистрироваться, чтобы увидеть ссылку., хотя последний больше используется для последующего анализа данных, чем для их первоначального сбора.

    Начнем с tcpdump. Базовый вызов команды выглядит следующим образом:

    $ tcpdump <опции> <фильтр>

    А вот некоторые наиболее важные опции:

    • -i интерфейс — задает интерфейс, с которого необходимо анализировать трафик;
    • -n — отключает преобразование IP в доменные имена;
    • -e — включает вывод данных канального уровня (например, MAC-адреса);
    • -v — вывод дополнительной информации (TTL, опции IP);
    • -w имя_файла — задает имя файла, в который нужно сохранять собранную информацию (дамп);
    • -r имя_файла — чтение (загрузка) дампа из заданного файла;
    • -q — переводит tcpdump в «бесшумный режим», в котором пакет анализируется на транспортном уровне (протоколы TCP, UDP, ICMP), а не на сетевом (протокол IP).
    Дампим весь входящий трафик, идущий из интернета на наш сервер:

    $ tcpdump -s 0 -i eth0 -n -nn -ttt dst host <ip-адрес нашего хоста> -w forensic_cap.pcap

    Пример создания дампа сетевого трафика по протоколам FTP или SSH на интерфейсе eth0:

    $ tcpdump -s 0 port ftp or ssh -i eth0 -w forensic_cap.pcap

    Дампим вообще все, что идет на интерфейс eth0:

    $ tcpdump -w forensic_cap -i eth0

    [​IMG]

    Еде одна годная для наших целей утилита — это Войти или зарегистрироваться, чтобы увидеть ссылку.. По сути, более продвинутый вариант tcpdump, который поддерживает еще больше параметров фильтрации и возможность восстанавливать «сломанные» пакеты.

    Если TCPflow по умолчанию нет в системе, то для начала ставь пакет tcpflow.

    Далее базовый синтаксис команды выглядит так:

    $ tcpflow [опции] [выражение] [хост]

    А вот описание опций:

    • -c — только консольная печать (не создавать файлы);
    • -d — уровень отладки (по умолчанию 1);
    • -e — выводить каждый поток чередующимися цветами (синий — клиент-сервер, красный — сервер-клиент, зеленый — неизвестно);
    • -i — сетевой интерфейс для прослушивания;
    • -r — чтение пакетов из выходного файла tcpdump;
    • -s — удалить непечатаемые символы (будут заменяться точками).
    Пример сбора данных, идущих из внешней сети на наш сервер:

    $ tcpflow -ce host <IP-адрес нашего хоста>

    Собираем весь трафик HTTP в нашей сети:

    $ tcpflow -ce port 80

    Дамп данных сетевого потока в локальную папку:

    $ mkdir tcpflowdata

    $ cd tcpflowdata

    $ tcpflow host <IP-адрес целевой машины>

    Теперь в директорию /tcpflowdata будут складываться файлы с содержанием сетевых подключений. Все, что нам потом останется сделать, — это перекинуть их для анализа в парсер.

    [​IMG]
     

Поделиться этой страницей

Загрузка...