自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

TCPflow:在Linux中分析和調(diào)試網(wǎng)絡(luò)流量的利器

譯文
作者:布加迪編譯
系統(tǒng) Linux
TCPflow是一款功能強(qiáng)大的、基于命令行的免費(fèi)開源工具,用于在Unix之類的系統(tǒng)(如Linux)上分析網(wǎng)絡(luò)流量。它可捕獲通過TCP連接接收或傳輸?shù)臄?shù)據(jù),并存儲在文件中供以后分析,采用的格式便于協(xié)議分析和調(diào)試。

[[244910]]

【51CTO.com快譯】TCPflow是一款功能強(qiáng)大的、基于命令行的免費(fèi)開源工具,用于在Unix之類的系統(tǒng)(如Linux)上分析網(wǎng)絡(luò)流量。它可捕獲通過TCP連接接收或傳輸?shù)臄?shù)據(jù),并存儲在文件中供以后分析,采用的格式便于協(xié)議分析和調(diào)試。

它實際上是類似tcpdump的工具,因為它處理來自網(wǎng)絡(luò)或存儲文件的數(shù)據(jù)包。它同樣支持tcpdump支持的功能強(qiáng)大的過濾表達(dá)式。唯一的區(qū)別是,tcpflow讓所有TCP數(shù)據(jù)包井然有序,并在單獨的文件(每路方向的數(shù)據(jù)流有一個文件)中組裝每路數(shù)據(jù)流,供以后分析。

功能特性包括一個高級插件系統(tǒng),用于解壓縮壓縮的HTTP連接、撤消MIME編碼或調(diào)用后期處理的第三方程序等等。

TCPflow有許多使用場景,包括了解網(wǎng)絡(luò)數(shù)據(jù)包流量,還支持執(zhí)行網(wǎng)絡(luò)取證分析和泄露HTTP會話的內(nèi)容。

如何在Linux系統(tǒng)中安裝TCPflow?

TCPflow可以在主流GNU/Linux發(fā)行版的官方代碼倉庫中找到,可以使用軟件包管理器安裝它,如下所示。 

  1. $ sudo apt install tcpflow #Debian/Ubuntu  
  2. $ sudo yum install tcpflow #CentOS/RHEL  
  3. $ sudo dnf install tcpflow #Fedora 22+  

安裝TCPflow后,可以用超級用戶權(quán)限來運(yùn)行它,不然使用sudo命令。注意:它可偵聽活動的網(wǎng)絡(luò)接口(比如enp0s3)。 

  1. $ sudo tcpflow  
  2. tcpflow: listening on enp0s3  

默認(rèn)情況下,TCPflow將所有捕獲的數(shù)據(jù)存儲在表單中有名稱的文件中(如果你使用某些選項,比如timestamp,這可能不一樣)。 

  1. sourceip.sourceport-destip.destport  
  2. 192.168.043.031.52920-216.058.210.034.00443  

現(xiàn)在不妨列出目錄,看看TCP流量是否已捕獲在任何文件中。 

  1. $ ls -1  
  2. total 20  
  3. -rw-r--r--. 1 root root 808 Sep 19 12:49 192.168.043.031.52920-216.058.210.034.00443  
  4. -rw-r--r--. 1 root root 59 Sep 19 12:49 216.058.210.034.00443-192.168.043.031.52920  

如上所述,每路TCP流量存儲在各自的文件中。從上面輸出可以看出,有三個記錄文件(transcript file),這表明TCPflow呈兩個截然不同的方向,源IP在第一個文件中,目的地IP在第二個文件中,反之亦然。

第一個文件192.168.043.031.52920-216.058.210.034.00443含有從主機(jī)192.168.043.031(TCPflow運(yùn)行所在的localhost,通過端口52920)傳輸?shù)街鳈C(jī)216.058.210.034(遠(yuǎn)程主機(jī),通過端口443)的數(shù)據(jù)。

而第二個文件216.058.210.034.00443-192.168.043.031.52920含有從主機(jī)216.058.210.034(遠(yuǎn)程主機(jī),通過端口443)傳輸?shù)街鳈C(jī)192.168.043.031(TCPflow運(yùn)行所在的localhost,通過端口52920)的數(shù)據(jù)。

還生成了一個XML報告,含有關(guān)于該程序的信息,比如它是如何編譯的、它在哪臺計算機(jī)上運(yùn)行以及每條TCP連接的記錄。

你可能注意到了,TCPflow默認(rèn)情況下將記錄文件存儲在當(dāng)前目錄下。-o選項可幫助你指定將寫入文件的輸出目錄。 

  1. $ sudo tcpflow -o tcpflow_files  
  2. $ sudo ls -l tcpflow_files  
  3. total 32  
  4. -rw-r--r--. 1 root root 1665 Sep 19 12:56 157.240.016.035.00443-192.168.000.103.45986  
  5. -rw-r--r--. 1 root root 45 Sep 19 12:56 169.044.082.101.00443-192.168.000.103.55496  
  6. -rw-r--r--. 1 root root 2738 Sep 19 12:56 172.217.166.046.00443-192.168.000.103.39954  
  7. -rw-r--r--. 1 root root 68 Sep 19 12:56 192.168.000.102.00022-192.168.000.103.42436  
  8. -rw-r--r--. 1 root root 573 Sep 19 12:56 192.168.000.103.39954-172.217.166.046.00443  
  9. -rw-r--r--. 1 root root 4067 Sep 19 12:56 192.168.000.103.45986-157.240.016.035.00443  
  10. -rw-r--r--. 1 root root 38 Sep 19 12:56 192.168.000.103.55496-169.044.082.101.00443  
  11. -rw-r--r--. 1 root root 3159 Sep 19 12:56 report.xml  

你還可以將數(shù)據(jù)包的內(nèi)容輸出到stdout,并不將任何捕獲的數(shù)據(jù)存儲到文件,只需使用-c標(biāo)志,如下所示。

想有效地進(jìn)行測試,打開第二個端口,運(yùn)行ping,或瀏覽互聯(lián)網(wǎng)。你應(yīng)該能夠看到ping細(xì)節(jié)或瀏覽細(xì)節(jié)已被TCPflow捕獲。 

  1. $ sudo tcpflow -c 

可以捕獲某個端口上的所有流量,比如端口80(HTTP)。以HTTP流量為例,你可以看到HTTP Headers以及隨后的內(nèi)容都在stdout上;如果去除-c參數(shù)選項符,它們都在一個文件中。 

  1. $ sudo tcpflow port 80 

想捕獲來自某個網(wǎng)絡(luò)接口的數(shù)據(jù)包,使用-i標(biāo)志來指定接口名稱。 

  1. $ sudo tcpflow -i eth0 port 80 

還可以指定目標(biāo)主機(jī)(接受的值是IP地址、主機(jī)名或域名),如下所示: 

  1. $ sudo tcpflow -c host 192.68.43.1 

OR 

  1. $ sudo tcpflow -c host www.google.com 

你可以使用-a標(biāo)志,啟用使用所有瀏覽器的所有處理,這相當(dāng)于-e all參數(shù)選項符。 

  1. $ sudo tcpflow -a 

OR 

  1. $ sudo tcpflow -e all 

還可以激活特定的掃描器;可用的掃描器包括md5、http、netviz、tcpdemux和wifiviz(運(yùn)行tcpflow –H,即可查看關(guān)于每個掃描器的詳細(xì)信息)。 

  1. $ sudo tcpflow -e http 

OR 

  1. $ sudo tcpflow -e md5 

OR 

  1. $ sudo tcpflow -e netviz 

OR 

  1. $ sudo tcpflow -e tcpdemux 

OR 

  1. $ sudo tcpflow -e wifiviz 

下面這個例子顯示了如何啟用除tcpdemux之外的所有掃描器。 

  1. $ sudo tcpflow -a -x tcpdemux 

TCPflow通常在捕獲數(shù)據(jù)包之前試圖讓網(wǎng)絡(luò)接口處于混雜模式。可以使用-p標(biāo)志來阻止這種模式,如下所示: 

  1. $ sudo tcpflow -p -i eth0 

想讀取來自tcpdump pcap文件的數(shù)據(jù)包,使用-r標(biāo)志。 

  1. $ sudo tcpflow -f file.pcap 

可以使用-v或-d 10選項啟用詳細(xì)模式。 

  1. $ sudo tcpflow -v 

OR 

  1. $ sudo tcpflow -d 10 

重要提醒:TCPflow的一個局限性是,目前它不了解IP片段,因而可能無法正確捕獲作為TCP連接的一部分而傳輸?shù)暮蠭P片段的數(shù)據(jù)。

想了解更多信息和用法選項,請參閱TCPflow參考手冊頁。 

  1. $ man tcpflow 

TCPflow Github代碼倉庫:https://github.com/simsong/tcpflow

就是這樣!TCPflow是一款功能強(qiáng)大的TCP流量記錄器,適用于了解網(wǎng)絡(luò)數(shù)據(jù)包流量、執(zhí)行網(wǎng)絡(luò)取證分析等等。試用一下,歡迎交流心得。

原文標(biāo)題:TCPflow – Analyze and Debug Network Traffic in Linux,作者:Aaron Kili

【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

責(zé)任編輯:龐桂玉 來源: 51CTO
LinuxTCPflow網(wǎng)絡(luò)流量
相關(guān)推薦

2021-03-22 10:36:48

Linux網(wǎng)絡(luò)流量iftop

2012-05-16 09:00:35

網(wǎng)絡(luò)流量分析工具調(diào)試Android應(yīng)用

2012-09-07 11:19:21

SNMPNetFlow虛擬網(wǎng)絡(luò)

2022-07-20 09:07:03

Linuxtcpdump網(wǎng)絡(luò)工具

2024-11-11 11:59:09

Rust網(wǎng)絡(luò)工具

2010-06-04 14:04:06

2022-09-26 14:24:18

Linux網(wǎng)絡(luò)流量審計

2011-04-06 11:36:28

MRTG流量

2015-07-28 15:58:26

2010-05-27 09:17:44

Linux網(wǎng)絡(luò)流量

2016-10-07 22:54:03

流量監(jiān)控ossim

2010-06-13 15:08:05

Linux 查看網(wǎng)絡(luò)流

2010-06-04 14:24:12

Linux 查看網(wǎng)絡(luò)流

2010-06-17 17:07:33

Linux網(wǎng)絡(luò)流量

2010-06-13 14:47:15

2010-06-10 17:41:47

2015-09-07 09:41:42

tshark網(wǎng)絡(luò)流量

2021-10-19 15:11:33

網(wǎng)絡(luò)數(shù)據(jù)技術(shù)

2010-05-27 12:38:35

2011-04-06 10:57:14

監(jiān)控MRTG
點贊
收藏

51CTO技術(shù)棧公眾號