Tcpflow
Fonction
TcpFlow permet de faire des captures comme tcpdump.
Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port)
Installation
apt-get install tcpflow
Utilisation
- Récupérer l'interface utilisée pour communiquer :
ip l
- préparer le répertoire réceptionnant les captures :
mkdir -p /tmp/capture
- Lancer tcpflow :
(ici, l'interface est eth0)
tcpflow -o /tmp/capture -i eth0
- Lancer en tâche de fond tcpflow :
nohup tcpflow -o /tmp/capture -i eth0 &
- Arrêter les captures :
pkill tcpflow
Utilisation avec tcpdump
- Lancer la capture tcpdump :
tcpdump -i eth0 -w /tmp/tcpdump.pcap
- Arrêter la capture tcpdump :
pkill tcpdump
- Lire le fichier pcap (généré par tcpdump)
tcpflow -o /tmp/capture -r /tmp/tcpdump.pcap
Analyse
Fichier pcap (tcpdump)
# show flow tcpdump -r /tmp/tcpdump.pcap # show raw data tcpdump -qns 0 -A -r /tmp/tcpdump.pcap # show hexa data tpdump -qns 0 -X -r /tmp/tcpdump.pcap # show hexa data (filter exclude ssh) tcpdump -qns 0 -X -r /tmp/tcpdump.pcap 'port not 22'
Fichier tcpflow
Analyser les captures :
- fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, l'heure de capture…)
- fichier contenant les données : <ip source>.<port source>-<ip destination>.<port destination>
- fichier contenant les index : <ip source>.<port source>-<ip destination>.<port destination>.findx
format index: byte-index|timestamp|length
