Outils du site

fr:tcpflow
Cette page n'est pas tagué correctement.

Tcpflow

Fonction

TcpFlow permet de faire des captures comme tcpdump.

Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port)

Installation

apt-get install tcpflow

Utilisation

  • Récupérer l'interface utilisée pour communiquer :
ip l
  • préparer le répertoire réceptionnant les captures :
mkdir -p /tmp/capture
  • Lancer tcpflow :

(ici, l'interface est eth0)

tcpflow -o /tmp/capture -i eth0
  • Lancer en tâche de fond tcpflow :
nohup tcpflow -o /tmp/capture -i eth0 &
  • Arrêter les captures :
pkill tcpflow

Utilisation avec tcpdump

  • Lancer la capture tcpdump :
tcpdump -i eth0 -w /tmp/tcpdump.pcap
  • Arrêter la capture tcpdump :
pkill tcpdump
  • Lire le fichier pcap (généré par tcpdump)
tcpflow -o /tmp/capture -r /tmp/tcpdump.pcap

Analyse

Fichier pcap (tcpdump)

# show flow
tcpdump -r /tmp/tcpdump.pcap

# show raw data
tcpdump -qns 0 -A -r /tmp/tcpdump.pcap

# show hexa data
tpdump -qns 0 -X -r /tmp/tcpdump.pcap

# show hexa data (filter exclude ssh)
tcpdump -qns 0 -X -r /tmp/tcpdump.pcap 'port not 22'

Fichier tcpflow

Analyser les captures :

  1. fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, l'heure de capture…)
  2. fichier contenant les données : <ip source>.<port source>-<ip destination>.<port destination>
  3. fichier contenant les index : <ip source>.<port source>-<ip destination>.<port destination>.findx

format index: byte-index|timestamp|length

Doc

fr/tcpflow.txt · Dernière modification: 2018/06/17 11:59 par merlin8282