====== Tcpflow ======


{{tag>sysadmin tutoriel}}

===== Fonction =====

TcpFlow permet de faire des captures comme tcpdump.

Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port)

===== Installation =====
  apt-get install tcpflow

===== Utilisation =====

  * Récupérer l'interface utilisée pour communiquer :

<code>
ip l
</code>

  * préparer le répertoire réceptionnant les captures :

<code>
mkdir -p /tmp/capture
</code>

  * Lancer tcpflow :

(ici, l'interface est ''eth0'')

<code>
tcpflow -o /tmp/capture -i eth0
</code>

  * Lancer en tâche de fond tcpflow :

<code>
nohup tcpflow -o /tmp/capture -i eth0 &
</code>

  * Arrêter les captures :

<code>
pkill tcpflow
</code>


===== Utilisation avec tcpdump =====

  * Lancer la capture tcpdump :

<code>
tcpdump -i eth0 -w /tmp/tcpdump.pcap
</code>

  * Arrêter la capture tcpdump :

<code>
pkill tcpdump
</code>

  * Lire le fichier pcap (généré par tcpdump)
<code>
tcpflow -o /tmp/capture -r /tmp/tcpdump.pcap
</code>

===== Analyse =====

==== Fichier pcap (tcpdump) ====

<code>
# show flow
tcpdump -r /tmp/tcpdump.pcap

# show raw data
tcpdump -qns 0 -A -r /tmp/tcpdump.pcap

# show hexa data
tpdump -qns 0 -X -r /tmp/tcpdump.pcap

# show hexa data (filter exclude ssh)
tcpdump -qns 0 -X -r /tmp/tcpdump.pcap 'port not 22'
</code>


==== Fichier tcpflow ====
Analyser les captures :

  - fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, l'heure de capture...)
  - fichier contenant les données : <ip source>.<port source>-<ip destination>.<port destination>
  - fichier contenant les index : <ip source>.<port source>-<ip destination>.<port destination>.findx

format index: byte-index|timestamp|length


===== Doc =====
https://github.com/simsong/tcpflow