Главная » Песочница » Дамп сетевого трафика в Linux

Дамп сетевого трафика в Linux

Анализ сетевого трафика в Linux

При криминалистической экспертизе, а в частности при создании дампа сетевого трафика в Linux используются несколько утилит: прежде всего — консольная tcpdump, классика жанра Wireshark и опенсорсный фреймворк XPLICO, хотя последний больше используется для последующего анализа данных, чем для их первоначального сбора.

Начнем с tcpdump. Базовый вызов команды выглядит следующим образом:

А вот некоторые наиболее важные опции:

  • -i интерфейс — задает интерфейс, с которого необходимо анализировать трафик;
  • -n — отключает преобразование IP в доменные имена;
  • -e — включает вывод данных канального уровня (например, MAC-адреса);
  • -v — вывод дополнительной информации (TTL, опции IP);
  • -w имя_файла — задает имя файла, в который нужно сохранять собранную информацию (дамп);
  • -r имя_файла — чтение (загрузка) дампа из заданного файла;
  • -q — переводит tcpdump в «бесшумный режим», в котором пакет анализируется на транспортном уровне (протоколы TCP, UDP, ICMP), а не на сетевом (протокол IP).

Дампим весь входящий трафик, идущий из интернета на наш сервер:

Пример создания дампа сетевого трафика по протоколам FTP или SSH на интерфейсе eth0:

Дампим вообще все, что идет на интерфейс eth0:

Результат работы tcpdump
Результат работы tcpdump

Еде одна годная для наших целей утилита — это TCPflow. По сути, более продвинутый вариант tcpdump, который поддерживает еще больше параметров фильтрации и возможность восстанавливать «сломанные» пакеты.

Если TCPflow по умолчанию нет в системе, то для начала ставь пакет tcpflow.

Далее базовый синтаксис команды выглядит так:

А вот описание опций:

  • -c — только консольная печать (не создавать файлы);
  • -d — уровень отладки (по умолчанию 1);
  • -e — выводить каждый поток чередующимися цветами (синий — клиент-сервер, красный — сервер-клиент, зеленый — неизвестно);
  • -i — сетевой интерфейс для прослушивания;
  • -r — чтение пакетов из выходного файла tcpdump;
  • -s — удалить непечатаемые символы (будут заменяться точками).

Пример сбора данных, идущих из внешней сети на наш сервер:

Собираем весь трафик HTTP в нашей сети:

Дамп данных сетевого потока в локальную папку:

Теперь в директорию /tcpflowdata будут складываться файлы с содержанием сетевых подключений. Все, что нам потом останется сделать, — это перекинуть их для анализа в парсер.

Результат работы TCPflow
Результат работы TCPflow

Еще по теме: Дистрибутивы для криминалистического анализа

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *