TCPflow - Linux에서 네트워크 트래픽 분석 및 디버그


TCPflow 는 Linux와 같은 유닉스 계열 시스템에서 네트워크 트래픽을 분석 할 수있는 무료 오픈 소스 강력한 명령 행 기반 도구입니다. TCP 연결을 통해 수신 또는 전송 된 데이터를 캡처하고 나중에 분석 할 수 있도록 프로토콜 분석 및 디버깅을위한 유용한 형식으로 파일에 저장합니다.

이것은 실제로 tcpdump와 같은 도구로서 유선이나 저장된 파일에서 패킷을 처리합니다. 이 도구는 지원되는 것과 동일한 강력한 필터링 표현식을 지원합니다. 유일한 차이점은 tcpflow가 모든 TCP 패킷을 순서대로 놓고 나중에 분석 할 수 있도록 각 흐름을 개별 파일 (흐름의 각 방향에 대한 파일)로 어셈블합니다.

이 기능 세트에는 압축 된 HTTP 연결을 압축 해제하거나, MIME 인코딩을 실행 취소하거나, 사후 처리 등을 위해 타사 프로그램을 호출하는 고급 플러그인 시스템이 포함됩니다.

네트워크 패킷 흐름을 이해하고 네트워크 포렌직을 수행하고 HTTP 세션의 내용을 누설하는 것을 지원하는 tcpflow에 대한 많은 사용 사례가 있습니다.

Linux 시스템에 TCPflow를 설치하는 방법

TCPflow 는 주류 GNU/Linux 배포판의 공식 리포지토리에서 사용할 수 있습니다. 그림과 같이 패키지 관리자를 사용하여 설치할 수 있습니다.

$ sudo apt install tcpflow	#Debian/Ubuntu
$ sudo yum install tcpflow	#CentOS/RHEL
$ sudo dnf install tcpflow	#Fedora 22+

tcpflow를 설치 한 후 수퍼 유저 권한으로 실행하거나 그렇지 않으면 sudo 명령 을 사용하십시오. 활성 네트워크 인터페이스 (예 : enp0s3 )에서 수신 대기합니다.

$ sudo tcpflow

tcpflow: listening on enp0s3

기본적으로 tcpflow는 캡처 된 모든 데이터를 형식의 이름을 가진 파일에 저장합니다 ( timestamp 와 같은 특정 옵션을 사용하면 다를 수 있음).

sourceip.sourceport-destip.destport
192.168.043.031.52920-216.058.210.034.00443

이제 어떤 파일에서 tcp 흐름이 캡처되었는지 확인하기 위해 디렉토리 목록을 만들어 보겠습니다.

$ ls -1

total 20
-rw-r--r--. 1 root    root     808 Sep 19 12:49 192.168.043.031.52920-216.058.210.034.00443
-rw-r--r--. 1 root    root      59 Sep 19 12:49 216.058.210.034.00443-192.168.043.031.52920

이전에 언급했듯이 각 TCP 흐름은 자체 파일에 저장됩니다. 위의 출력에서 ​​두 개의 반대 방향으로 tcpflow를 나타내는 3 개의 스크립트 파일이 있음을 알 수 있습니다. 첫 번째 파일의 소스 IP와 두 번째 파일의 대상 IP가 그 반대의 경우입니다.

첫 번째 파일 192.168.043.031.52920-216.058.210.034.00443 에는 192.168.043.031 호스트 (tcpflow가 실행 된 로컬 호스트)에서 포트 52920 을 포트 443 을 통해 216.058.210.034 (원격 호스트)에 호스팅하십시오.

두 번째 파일 216.058.210.034.00443-192.168.043.031.52920 에는 포트 443 을 통해 호스트 216.058.210.034 (원격 호스트) port> 52920 을 통해 192.168.043.031 (tcpflow가 실행 된 로컬 호스트)를 호스팅 할 수 있습니다.

XML 보고서도 생성됩니다.이 보고서에는 컴파일 방법, 실행 된 컴퓨터 및 모든 TCP 연결 레코드와 같은 프로그램 정보가 포함되어 있습니다.

눈치 챘을 지 모르겠지만 tcpflow는 기본적으로 스크립트 파일을 현재 디렉토리에 저장합니다. -o 옵션은 스크립트 파일이 작성 될 출력 디렉토리를 지정할 때 도움이됩니다.

$ sudo tcpflow -o tcpflow_files
$ sudo ls -l tcpflow_files

total 32
-rw-r--r--. 1 root root 1665 Sep 19 12:56 157.240.016.035.00443-192.168.000.103.45986
-rw-r--r--. 1 root root   45 Sep 19 12:56 169.044.082.101.00443-192.168.000.103.55496
-rw-r--r--. 1 root root 2738 Sep 19 12:56 172.217.166.046.00443-192.168.000.103.39954
-rw-r--r--. 1 root root   68 Sep 19 12:56 192.168.000.102.00022-192.168.000.103.42436
-rw-r--r--. 1 root root  573 Sep 19 12:56 192.168.000.103.39954-172.217.166.046.00443
-rw-r--r--. 1 root root 4067 Sep 19 12:56 192.168.000.103.45986-157.240.016.035.00443
-rw-r--r--. 1 root root   38 Sep 19 12:56 192.168.000.103.55496-169.044.082.101.00443
-rw-r--r--. 1 root root 3159 Sep 19 12:56 report.xml

다음과 같이 -c 플래그를 사용하여 캡쳐 된 데이터를 파일에 저장하지 않고 패킷의 내용을받은대로 stdout 으로 인쇄 할 수도 있습니다.

이를 효과적으로 테스트하려면 두 번째 터미널을 열고 ping 을 실행하거나 인터넷을 탐색하십시오. tcpflow가 캡처 한 ping 세부 정보 또는 탐색 세부 정보를 볼 수 있어야합니다.

$ sudo tcpflow -c

특정 포트에서 모든 트래픽을 캡처 할 수 있습니다 (예 : 포트 80 ( HTTP ). HTTP 트래픽의 경우 -c 스위치가 제거되면 표준 헤더 또는 하나의 파일에있는 모든 내용에 이어 HTTP 헤더를 볼 수 있습니다.

$ sudo tcpflow port 80

특정 네트워크 인터페이스에서 패킷을 캡처하려면 -i 플래그를 사용하여 인터페이스 이름을 지정하십시오.

$ sudo tcpflow -i eth0 port 80

그림과 같이 대상 호스트 (허용되는 값은 IP 주소, 호스트 이름 또는 도메인)를 지정할 수도 있습니다.

$ sudo tcpflow -c host 192.68.43.1
OR
$ sudo tcpflow -c host www.google.com 

-a 플래그를 사용하여 모든 스캐너를 사용하여 모든 처리를 활성화 할 수 있습니다. 이는 -e all 스위치와 동일합니다.

$ sudo tcpflow -a  
OR
$ sudo tcpflow -e all

특정 스캐너를 활성화 할 수도 있습니다. 사용 가능한 스캐너에는 md5, http, netviz, tcpdemux 및 wifiviz (각 스캐너에 대한 자세한 정보를 보려면 tcpflow -H 를 실행)가 포함됩니다.

$ sudo tcpflow -e http
OR
$ sudo tcpflow -e md5
OR
$ sudo tcpflow -e netviz
OR
$ sudo tcpflow -e tcpdemux
OR
$ sudo tcpflow -e wifiviz

다음 예제에서는 tcpdemux를 제외한 모든 스캐너를 활성화하는 방법을 보여줍니다.

$ sudo tcpflow -a -x tcpdemux 

TCPflow는 일반적으로 패킷을 캡처하기 전에 네트워크 인터페이스를 무차별 모드로 설정하려고 시도합니다. 그림과 같이 -p 플래그를 사용하여이를 방지 할 수 있습니다.

$ sudo tcpflow -p -i eth0

tcpdump pcap 파일에서 패킷을 읽으려면 -r 플래그를 사용하십시오.

$ sudo tcpflow -f file.pcap

-v 또는 -d 10 옵션을 사용하여 자세한 모드를 활성화 할 수 있습니다.

$ sudo tcpflow -v
OR
$ sudo tcpflow -d 10

빨간

자세한 정보 및 사용법 옵션은 tcpflow 매뉴얼 페이지를 참조하십시오.

$ man tcpflow 

TCPflow Github 저장소 : https://github.com/simsong/tcpflow

지금은 여기까지입니다! TCPflow 는 네트워크 패킷 흐름을 이해하고 네트워크 법의학을 수행하는 데 유용한 강력한 TCP 플로우 레코더입니다. 그것을 밖으로 시도하고 의견에 우리와 함께 그것에 대해 당신의 생각을 공유 할 수 있습니다.