====== Tcpflow ======
{{tag>sysadmin tutoriel}}
===== Fonction =====
TcpFlow permet de faire des captures comme tcpdump.
Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port)
===== Installation =====
apt-get install tcpflow
===== Utilisation =====
* Récupérer l'interface utilisée pour communiquer :
ip l
* préparer le répertoire réceptionnant les captures :
mkdir -p /tmp/capture
* Lancer tcpflow :
(ici, l'interface est ''eth0'')
tcpflow -o /tmp/capture -i eth0
* Lancer en tâche de fond tcpflow :
nohup tcpflow -o /tmp/capture -i eth0 &
* Arrêter les captures :
pkill tcpflow
===== Utilisation avec tcpdump =====
* Lancer la capture tcpdump :
tcpdump -i eth0 -w /tmp/tcpdump.pcap
* Arrêter la capture tcpdump :
pkill tcpdump
* Lire le fichier pcap (généré par tcpdump)
tcpflow -o /tmp/capture -r /tmp/tcpdump.pcap
===== Analyse =====
==== Fichier pcap (tcpdump) ====
# show flow
tcpdump -r /tmp/tcpdump.pcap
# show raw data
tcpdump -qns 0 -A -r /tmp/tcpdump.pcap
# show hexa data
tpdump -qns 0 -X -r /tmp/tcpdump.pcap
# show hexa data (filter exclude ssh)
tcpdump -qns 0 -X -r /tmp/tcpdump.pcap 'port not 22'
==== Fichier tcpflow ====
Analyser les captures :
- fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, l'heure de capture...)
- fichier contenant les données : .-.
- fichier contenant les index : .-..findx
format index: byte-index|timestamp|length
===== Doc =====
https://github.com/simsong/tcpflow