|
|
51CTO旗下网站
|
|
挪动端

TCPflow:在通博8888官网中剖析和调试网络流量的利器

TCPflow是一款功用弱小的、基于下令行的收费开源东西,用于在Unix之类的零碎(如通博8888官网)上剖析网络流量。它可捕捉经过TCP衔接接纳或传输的数据,并存储在文件中供当前剖析,接纳的款式便于协议剖析和调试。

作者:布加迪编译泉源:51CTO|2018-09-28 09:00

TCPflow:在通博8888官网中剖析和调试网络流量的利器

【51CTO.com快译】TCPflow是一款功用弱小的、基于下令行的收费开源东西,用于在Unix之类的零碎(如通博8888官网)上剖析网络流量。它可捕捉经过TCP衔接接纳或传输的数据,并存储在文件中供当前剖析,接纳的款式便于协议剖析和调试。

它实践上是相似tcpdump的东西,由于它处置来自网络或存储文件的数据包。它异样支持tcpdump支持的功用弱小的过滤表达式。独一的区别是,tcpflow让一切TCP数据包有条有理,并在独自的文件(每路偏向的数据流有一个文件)中组装每路数据流,供当前剖析。

功用特性包罗一个初级插件零碎,用于解紧缩紧缩的HTTP衔接、吊销MIME编码或挪用前期处置的第三方顺序等等。

TCPflow有很多运用场景,包罗理解网络数据包流量,还支持实行网络取证剖析和泄漏HTTP会话的内容。

怎样在通博8888官网零碎中装置TCPflow?

TCPflow可以在主流GNU/通博8888官网刊行版的官方代码堆栈中找到,可以运用软件保证理器装置它,如下所示。

  1. $ sudo apt install tcpflow #Debian/Ubuntu  
  2. $ sudo yum install tcpflow #CentOS/RHEL  
  3. $ sudo dnf install tcpflow #Fedora 22+  

装置TCPflow后,可以用超等用户权限来运转它,否则运用sudo下令。留意:它可侦听运动的网络接口(比方enp0s3)。

  1. $ sudo tcpflow  
  2. tcpflow: listening on enp0s3  

默许状况下,TCPflow将一切捕捉的数据存储在表单中著名称的文件中(假如你运用某些选项,比方timestamp,这能够纷歧样)。

  1. sourceip.sourceport-destip.destport  
  2. 192.168.043.031.52920-216.058.210.034.00443  

如今无妨列出目次,看看TCP流量能否已捕捉在任何文件中。

  1. $ ls -1  
  2. total 20  
  3. -rw-r--r--. 1 root root 808 Sep 19 12:49 192.168.043.031.52920-216.058.210.034.00443  
  4. -rw-r--r--. 1 root root 59 Sep 19 12:49 216.058.210.034.00443-192.168.043.031.52920  

如上所述,每路TCP流量存储在各自的文件中。从下面输入可以看出,有三个记载文件(transcript file),这标明TCPflow呈两个一模一样的偏向,源IP在第一个文件中,目标地IP在第二个文件中,反之亦然。

第一个文件192.168.043.031.52920-216.058.210.034.00443含有从主机192.168.043.031(TCPflow运转地点的localhost,经过端口52920)传输到主机216.058.210.034(近程主机,经过端口443)的数据。

而第二个文件216.058.210.034.00443-192.168.043.031.52920含有从主机216.058.210.034(近程主机,经过端口443)传输到主机192.168.043.031(TCPflow运转地点的localhost,经过端口52920)的数据。

还天生了一个XML陈诉,含有关于该顺序的信息,比方它是怎样编译的、它在哪台盘算机上运转以及每条TCP衔接的记载。

你能够留意到了,TCPflow默许状况下将记载文件存储在以后目次下。-o选项可协助你指定将写入文件的输入目次。

  1. $ sudo tcpflow -o tcpflow_files  
  2. $ sudo ls -l tcpflow_files  
  3. total 32  
  4. -rw-r--r--. 1 root root 1665 Sep 19 12:56 157.240.016.035.00443-192.168.000.103.45986  
  5. -rw-r--r--. 1 root root 45 Sep 19 12:56 169.044.082.101.00443-192.168.000.103.55496  
  6. -rw-r--r--. 1 root root 2738 Sep 19 12:56 172.217.166.046.00443-192.168.000.103.39954  
  7. -rw-r--r--. 1 root root 68 Sep 19 12:56 192.168.000.102.00022-192.168.000.103.42436  
  8. -rw-r--r--. 1 root root 573 Sep 19 12:56 192.168.000.103.39954-172.217.166.046.00443  
  9. -rw-r--r--. 1 root root 4067 Sep 19 12:56 192.168.000.103.45986-157.240.016.035.00443  
  10. -rw-r--r--. 1 root root 38 Sep 19 12:56 192.168.000.103.55496-169.044.082.101.00443  
  11. -rw-r--r--. 1 root root 3159 Sep 19 12:56 report.xml  

你还可以将数据包的内容输入到stdout,并不将任何捕捉的数据存储到文件,只需运用-c标记,如下所示。

想无效地停止测试,翻开第二个端口,运转ping,或阅读互联网。你应该可以看到ping细节或阅读细节已被TCPflow捕捉。

  1. $ sudo tcpflow -c 

可以捕捉某个端口上的一切流量,比方端口80(HTTP)。以HTTP流量为例,你可以看到HTTP Headers以及随后的内容都在stdout上;假如去除-c参数选项符,它们都在一个文件中。

  1. $ sudo tcpflow port 80 

想捕捉来自某个网络接口的数据包,运用-i标记来指定接口称号。

  1. $ sudo tcpflow -i eth0 port 80 

还可以指定目的主机(承受的值是IP地点、主机名或域名),如下所示:

  1. $ sudo tcpflow -c host 192.68.43.1 

OR

  1. $ sudo tcpflow -c host www.google.com 

你可以运用-a标记,启用运用一切阅读器的一切处置,这相称于-e all参数选项符。

  1. $ sudo tcpflow -a 

OR

  1. $ sudo tcpflow -e all 

还可以激活特定的扫描器;可用的扫描器包罗md5、http、netviz、tcpdemux和wifiviz(运转tcpflow –H,即可检查关于每个扫描器的细致信息)。

  1. $ sudo tcpflow -e http 

OR

  1. $ sudo tcpflow -e md5 

OR

  1. $ sudo tcpflow -e netviz 

OR

  1. $ sudo tcpflow -e tcpdemux 

OR

  1. $ sudo tcpflow -e wifiviz 

上面这个例子表现了怎样启用除tcpdemux之外的一切扫描器。

  1. $ sudo tcpflow -a -x tcpdemux 

TCPflow通常在捕捉数据包之前试图让网络接口处于稠浊形式。可以运用-p标记来制止这种形式,如下所示:

  1. $ sudo tcpflow -p -i eth0 

想读取来自tcpdump pcap文件的数据包,运用-r标记。

  1. $ sudo tcpflow -f file.pcap 

可以运用-v或-d 10选项启用细致形式。

  1. $ sudo tcpflow -v 

OR

  1. $ sudo tcpflow -d 10 

紧张提示:TCPflow的一个范围性是,现在它不理解IP片断,因此能够无法准确捕捉作为TCP衔接的一局部而传输的含有IP片断的数据。

想理解更多信息和用法选项,请参阅TCPflow参考手书页。

  1. $ man tcpflow 

TCPflow Github代码堆栈:https://github.com/simsong/tcpflow

便是如许!TCPflow是一款功用弱小的TCP流量记载器,实用于理解网络数据包流量、实行网络取证剖析等等。试用一下,欢送交换心得。

原文标题:TCPflow – Analyze and Debug Network Traffic in 通博8888官网,作者:Aaron Kili

【51CTO译稿,协作站点转载请注明原文译者和来由为51CTO.com】

【编辑引荐】

  1. 通博8888官网 新举动原则引发争议,奉献者要挟要打消代码
  2. 一款最新专为通博8888 10创立的通博8888官网刊行版
  3. 通博8888 如今拥有平台独占的 通博8888官网 刊行版 — W通博8888官网
  4. 怎样在Ubuntu和其他通博8888官网刊行版中创立照片幻灯片
  5. 怎样在通博8888官网上运用tcpdump下令捕捉和剖析数据包
【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
各人都在看
猜你喜好

读 书 +更多

软件架构设计

本书牢牢围绕“软件架构设计”这一主题,驻足理论剖析了软件架构的观点,论述了实在可行的软件架构设计办法,提供了可操纵性极强的完好的架...

订阅51CTO邮刊

点击这里检查样刊

订阅51CTO邮刊