टीसीपीफ़्लो - लिनक्स में विश्लेषण और डिबग नेटवर्क ट्रैफ़िक

TCPflow एक निशुल्क, खुला स्रोत, यूनिक्स जैसे सिस्टम पर नेटवर्क ट्रैफ़िक का विश्लेषण करने के लिए शक्तिशाली कमांड लाइन आधारित टूल है। यह टीसीपी कनेक्शन पर प्राप्त या स्थानांतरित किए गए डेटा को कैप्चर करता है, और बाद में विश्लेषण के लिए एक फ़ाइल में संग्रहीत करता है, एक उपयोगी प्रारूप में जो प्रोटोकॉल विश्लेषण और डीबगिंग की अनुमति देता है।

यह वास्तव में एक tcpdump- जैसे उपकरण है क्योंकि यह तार से या संग्रहीत फ़ाइल से पैकेट को संसाधित करता है। यह अपने समकक्ष द्वारा समर्थित समान शक्तिशाली फ़िल्टरिंग अभिव्यक्तियों का समर्थन करता है। अंतर केवल इतना है कि tcpflow सभी TCP पैकेटों को क्रम में रखता है और प्रत्येक प्रवाह को बाद के विश्लेषण के लिए एक अलग फ़ाइल (प्रवाह की प्रत्येक दिशा के लिए एक फ़ाइल) में इकट्ठा करता है।

इसके फीचर सेट में संपीड़ित HTTP कनेक्शन को डिकम्प्रेस करने के लिए एक उन्नत प्लग-इन सिस्टम, माइम एन्कोडिंग को पूर्ववत् करना या पोस्ट-प्रोसेसिंग के लिए तृतीय-पक्ष कार्यक्रमों को शामिल करना और बहुत कुछ शामिल है।

Tcpflow के लिए कई उपयोग के मामले हैं, जिसमें नेटवर्क पैकेट प्रवाह को समझना और नेटवर्क फोरेंसिक प्रदर्शन के लिए समर्थन और HTTP सत्रों की सामग्री को विभाजित करना शामिल है।

लिनक्स सिस्टम में TCPflow कैसे स्थापित करें

TCPflow मुख्यधारा के GNU/Linux वितरण के आधिकारिक रिपॉजिटरी में उपलब्ध है, आप इसे अपने पैकेज मैनेजर का उपयोग करके स्थापित कर सकते हैं जैसा कि दिखाया गया है।

$ sudo apt install tcpflow	#Debian/Ubuntu
$ sudo yum install tcpflow	#CentOS/RHEL
$ sudo dnf install tcpflow	#Fedora 22+

Tcpflow स्थापित करने के बाद, आप इसे सुपरसुसर विशेषाधिकारों के साथ चला सकते हैं, अन्यथा sudo कमांड का उपयोग करें। ध्यान दें कि यह सक्रिय नेटवर्क इंटरफ़ेस (उदाहरण के लिए enp0s3 ) पर सुनता है।

$ sudo tcpflow

tcpflow: listening on enp0s3

डिफ़ॉल्ट tcpflow द्वारा सभी कैप्चर किए गए डेटा को उन फ़ाइलों में संग्रहीत किया जाता है जिनके नाम प्रपत्र में होते हैं (यह भिन्न हो सकता है यदि आप कुछ विकल्पों का उपयोग करते हैं जैसे टाइमस्टैम्प )।

sourceip.sourceport-destip.destport
192.168.043.031.52920-216.058.210.034.00443

अब यह देखने के लिए कि क्या किसी फाइल में tcp फ्लो कैप्चर हो गया है, एक डायरेक्टरी लिस्टिंग करते हैं।

$ ls -1

total 20
-rw-r--r--. 1 root    root     808 Sep 19 12:49 192.168.043.031.52920-216.058.210.034.00443
-rw-r--r--. 1 root    root      59 Sep 19 12:49 216.058.210.034.00443-192.168.043.031.52920

जैसा कि हमने पहले उल्लेख किया है, प्रत्येक टीसीपी प्रवाह अपनी फ़ाइल में संग्रहीत किया जाता है। ऊपर दिए गए आउटपुट से, आप देख सकते हैं कि तीन प्रतिलिपि फ़ाइल हैं, जो दो विपरीत दिशाओं में tcpflow इंगित करती हैं, जहां पहली फ़ाइल में स्रोत आईपी और दूसरी फ़ाइल में गंतव्य आईपी और इसके विपरीत।

पहली फ़ाइल 192.168.043.031.52920-216.058.210.034.00443 में होस्ट से डेटा ट्रांसफर किया गया है 192.168.043.031 (पोर्टो के माध्यम से tcpflow चलाया गया था) 52920 , पोर्ट 443 पोर्ट के माध्यम से 216.058.210.034 (दूरस्थ होस्ट) होस्ट करने के लिए।

और दूसरी फ़ाइल 216.058.210.034.00443-192.168.043.031.52920 में होस्ट 216.058.210.034 (दूरस्थ होस्ट) पोर्ट से भेजा गया डेटा शामिल है 443 होस्ट करने के लिए 192.168.043.031 (जिस पर tcpflow चलाया गया था) पोर्ट 52920 के माध्यम से।

एक XML रिपोर्ट भी उत्पन्न होती है, जिसमें कार्यक्रम के बारे में जानकारी होती है जैसे कि इसे कैसे संकलित किया गया था, और जिस कंप्यूटर पर इसे चलाया गया था और प्रत्येक tcp कनेक्शन का रिकॉर्ड।

जैसा कि आपने देखा होगा, tcpflow वर्तमान निर्देशिका में ट्रांसक्रिप्ट फ़ाइलों को डिफ़ॉल्ट रूप से संग्रहीत करता है। -o विकल्प आपको आउटपुट डायरेक्टरी को निर्दिष्ट करने में मदद कर सकता है जहां ट्रांसक्रिप्ट फाइलें लिखी जाएंगी।

$ sudo tcpflow -o tcpflow_files
$ sudo ls -l tcpflow_files

total 32
-rw-r--r--. 1 root root 1665 Sep 19 12:56 157.240.016.035.00443-192.168.000.103.45986
-rw-r--r--. 1 root root   45 Sep 19 12:56 169.044.082.101.00443-192.168.000.103.55496
-rw-r--r--. 1 root root 2738 Sep 19 12:56 172.217.166.046.00443-192.168.000.103.39954
-rw-r--r--. 1 root root   68 Sep 19 12:56 192.168.000.102.00022-192.168.000.103.42436
-rw-r--r--. 1 root root  573 Sep 19 12:56 192.168.000.103.39954-172.217.166.046.00443
-rw-r--r--. 1 root root 4067 Sep 19 12:56 192.168.000.103.45986-157.240.016.035.00443
-rw-r--r--. 1 root root   38 Sep 19 12:56 192.168.000.103.55496-169.044.082.101.00443
-rw-r--r--. 1 root root 3159 Sep 19 12:56 report.xml

आप पैकेट की सामग्री को stdout के रूप में मुद्रित कर सकते हैं, जैसा कि वे प्राप्त करते हैं, बिना किसी कैप्चर किए गए डेटा को फ़ाइलों में संग्रहीत किए बिना, -c ध्वज का उपयोग करके।

इसे प्रभावी रूप से जांचने के लिए, दूसरा टर्मिनल खोलें और पिंग चलाएं, या इंटरनेट ब्राउज़ करें। आपको पिंग विवरण या अपने ब्राउज़िंग विवरण को tcpflow द्वारा कैप्चर किए जाने के लिए सक्षम होना चाहिए।

$ sudo tcpflow -c

$ sudo tcpflow port 80

$ sudo tcpflow -i eth0 port 80

$ sudo tcpflow -c host 192.68.43.1
OR
$ sudo tcpflow -c host www.google.com 

$ sudo tcpflow -a  
OR
$ sudo tcpflow -e all

$ sudo tcpflow -e http
OR
$ sudo tcpflow -e md5
OR
$ sudo tcpflow -e netviz
OR
$ sudo tcpflow -e tcpdemux
OR
$ sudo tcpflow -e wifiviz

$ sudo tcpflow -a -x tcpdemux 

$ sudo tcpflow -p -i eth0

$ sudo tcpflow -f file.pcap

$ sudo tcpflow -v
OR
$ sudo tcpflow -d 10

$ man tcpflow