Это команда tcpflow, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
tcpflow - регистратор потока TCP
СИНТАКСИС
tcpflow [-aBcCDhpsvVZ] [-b макс_байт] [-d уровень_отладки] [- [eE] сканер] [-f max_fds]
[-F [ctTXMkmg]] [-i IFACE] [-L полузамок] [-m мин_байт] [-o превзойти] [-r файл1.pcap]
[-R файл0.pcap] [-Sимя = значение] [-T [имя файла шаблон]] [-wфайл] [-x сканер] [-X файл.xml]
[выражение]
ОПИСАНИЕ
tcpflow это программа, которая захватывает данные, передаваемые как часть TCP-соединений (потоков),
и хранит данные таким образом, чтобы это было удобно для анализа или отладки протокола.
Вместо того, чтобы показывать информацию от пакета к пакету, tcpflow восстанавливает фактические данные.
streams и сохраняет каждый поток в отдельном файле для последующего анализа. tcpflow понимает
Порядковые номера TCP и будут правильно реконструировать потоки данных независимо от
ретрансляции или нестандартная доставка. tcpflow обеспечивает контроль над именами файлов для
автоматическое объединение соединений по протоколу, IP-адресу или номеру соединения и имеет
сложная система плагинов для распаковки сжатых HTTP-соединений, отмены MIME
кодирование или вызов пользовательских программ для постобработки.
По умолчанию tcpflow хранит все захваченные данные в файлах с именами в форме:
192.168.101.102.02345-010.011.012.013.45103
... где содержимое вышеуказанного файла будет данными, передаваемыми с хоста
192.168.101.102 порт 2345, для хоста 10.11.12.13 порт 45103.
Если вы хотите просто обработать несколько сотен тысяч пакетов и посмотреть, что у вас есть, попробуйте
это:
tcpflow -a -o превзойти -Фк -r пакеты.pcap
Это заставит tcpflow выполнить (-a) всю обработку, сохранить вывод в каталоге
под названием Outdir, поместите вывод в каталоги по 1000 подключений в каждом и прочтите его ввод
из файла пакеты.pcap. Конечно, возможна более сложная обработка.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-a Включите всю обработку. Такой же как -e все.
-B Принудительный двоичный вывод даже при печати на консоль с -C or -с.
-b макс_байт
Задает максимальный размер захваченного потока. Любые байты сверх макс_байт из
первый захваченный байт будет отброшен. По умолчанию хранится неограниченное количество
байтов на поток. Примечание: предыдущие версии tcpflow мог хранить только максимум
4 ГиБ на поток, но версия 1.4 и выше действительно может хранить неограниченное количество
байтов. Хорошо, что современные диски такие большие, а?
-c Консольная печать. Вывести содержимое пакетов на стандартный вывод по мере их получения,
без сохранения каких-либо захваченных данных в файлы (подразумевает
-C Консольная печать без вывода сведений об источнике и получателе пакета.
Выводить содержимое пакетов на стандартный вывод по мере их получения, не сохраняя
записанные данные в файлы (подразумевает -e При выводе в консоль каждый поток будет
выводятся разными цветами (синий для потоков от клиента к серверу, красный для потока от сервера к
клиентские потоки, зеленый для неопределенных потоков). -s ).
-D Консольный вывод должен быть в шестнадцатеричном формате.
-d Уровень отладки. Установите уровень отладочных сообщений, выводимых на stderr, на уровень_отладки.
Чем больше число, тем больше сообщений. -d 0 вызывает полностью бесшумную работу. -d
1 по умолчанию выдает минимальное количество сообщений о состоянии. -d 10 производит подробный вывод
что эквивалентно -v . Числа выше 10 могут привести к большому объему отладки.
информация полезна только разработчикам.
-E имя
Отключите все сканеры, а затем включите сканер имя
-e имя
Включить сканер имя.
-e ВСЕ Включает все сканеры. Такой же как -a
-e HTTP
Выполните постобработку HTTP («После» обработки). Если выходной файл
208.111.153.175.00080-192.168.001.064.37314,
Затем постобработка создаст файлы:
208.111.153.175.00080-192.168.001.064.37314-HTTP
208.111.153.175.00080-192.168.001.064.37314-HTTPBODY
Если HTTPBODY был сжат с помощью GZIP, вы также можете получить третий файл:
208.111.153.175.00080-192.168.001.064.37314-HTTPBODY-GZIP
Дополнительная информация об этих потоках, такая как их хеш-значение MD5, также
записано в файл DFXML
-F [формат]
Задает формат для имен выходных файлов. Спецификаторы формата: c добавляет соединение
встречает ВСЕ имена файлов. t добавляет к каждому имени файла метку времени Unix. T
добавляет к каждому имени файла метку времени ISO-8601. X Не выводить файлы
(кроме отчет.xml файлы отчетов).
-FM Включите MD5 каждого потока в вывод DFXML.
-fx Полностью подавляет вывод файла (файл DFXML все еще создается).
-Фк вывод bin в каталоги 1K
-FM вывод bin в 1M директорий (2 уровня)
-Fg вывод bin в каталоги 1G (3 уровня) -T [формат] Задает произвольный шаблон
для имен файлов. %A расширяется до исходного IP-адреса. %a расширяется до исходного IP-порта. %B
расширяется до IP-адреса назначения. %a расширяется до IP-порта назначения. %T раскрываться
в метку времени в формате ISO8601. %t расширяется до отметки времени в формате Unix time_t. %V
расширяется до «-», если присутствует VLAN. %v расширяется до номера VLAN, если VLAN
настоящее время. %C заменяется на «c», если количество подключений> 0. %c расширяется до
количество подключений, если количество подключений> 0. %# всегда расширяется до соединения
сосчитать. %% печатает "%".
-fmax_fds
Максимальное количество используемых файловых дескрипторов. Ограничьте количество файловых дескрипторов, используемых tcpflow, до
max_fds. Более высокие числа используют больше системных ресурсов, но обычно работают лучше. Если
базовая операционная система поддерживает setrlimit () системный вызов, ОС будет
попросить обеспечить соблюдение запрошенного лимита. По умолчанию tcpflow использует
максимальное количество файловых дескрипторов, разрешенное ОС. В -v вариант сообщит
сколько файловых дескрипторов использует tcpflow.
-h Помощь. Распечатайте информацию об использовании и выйдите.
-хх Дополнительная помощь. Распечатайте дополнительную информацию об использовании и выйдите.
-i IFACE
Имя интерфейса. Захват пакетов из сетевого интерфейса с именем IFACE. Если нет
интерфейс указан с -i , разумное значение по умолчанию будет использоваться libpcap
автоматически.
-L semlock_name
Указывает, что semlock_name следует использовать как семафор Unix для предотвращения двух
разные копии tcpflow, запущенные в двух разных процессах, но выводящие на
одинаковый стандартный вывод при печати друг на друга. Это приложение
Именованные семафоры Unix; Бьюсь об заклад, вы никогда не видели его раньше.
-l Рассматривайте следующие аргументы как имена файлов с предполагаемым -r команда перед каждым
один. Это позволяет вам читать сразу много файлов с помощью подстановки оболочки. Для
Например, чтобы обработать все файлы pcap в текущем каталоге, используйте это:
tcpflow -o внешний -a -l * .pcap
-J Выводит информацию о потоке на консоль в нескольких цветах. ПРИМЕЧАНИЕ: Эти вариант законопроект
менялась от tcpflow 1.3.
-m мин_размер
Принудительно создает новый выходной файл подключения при пропуске TCP-сеанса
мин_размер байтов или больше.
-o превзойти
Задает выходной каталог, в который будут записаны файлы стенограммы.
-P Никакой чистки. Обычно tcpflow удаляет соединения из хеш-таблицы после
соединение закрывается с FIN. Это экономит память, но требует дополнительного процессора.
время. Выбор этого параметра приводит к увеличению std :: tr1: unordered_map без
bounds, как это делал tcpflow до версии 1.1. Это заставляет tcpflow работать быстрее, если есть
меньше 10 миллионов подключений, но это может привести к ошибкам нехватки памяти.
-p Никаких беспорядочных половых связей. Обычно tcpflow пытается поместить сетевой интерфейс в
беспорядочный режим перед захватом пакетов. В -p опция сообщает tcpflow поставить
интерфейс в неразборчивом режиме. Обратите внимание, что он уже может быть в беспорядочных половых связях.
режим по какой-то другой причине.
-q Тихий режим --- не выводить предупреждения. На данный момент единственное предупреждение, что tcpflow печать
является предупреждением, когда создается более 10,000 XNUMX файлов, которые пользователь должен иметь
при условии -Фк, -FMили -Fg параметры. В будущем у нас могут быть другие предупреждения.
-r Читать из файла. Читать пакеты из файл, который был создан с использованием -w возможность
ТСРйитр(1). Этот вариант можно повторять любое количество раз. Стандартный ввод
используется, если файл является "-". Обратите внимание, что для того, чтобы эта опция была полезной, tcpdump -s вариант
следует использовать для установки снэплена на MTU интерфейса (например, 1500), в то время как
захват пакетов.
-R Чтение из файла, но только для завершения TCP-потоков. Эта опция используется, когда tcpflow
используется для обработки серии файлов, которые захватываются с течением времени. На каждый раз
период n, файл файл.pcap следует обрабатывать с R -r файл.pcap, в то время как
файл (n-1) .pcap должен be обрабатываемых R -R файл (n-1) .pcap.
-Sимя=ценностное
Устанавливает имя параметр быть равным ценностное для плагина. Использовать -хх узнать все
настраиваемых параметров.
-s Удалите непечатаемые материалы. Преобразуйте все непечатаемые символы в "." персонаж
перед печатью пакетов на консоль или сохранением их в файл.
-V Распечатайте номер версии и выйдите.
-v Подробная операция. Подробно опишите работу tcpflow. Эквивалентно -d 10.
-w имя файла.pcap
Записывать пакеты, которые не были обработаны, в имя файла.pcap. Обычно это UDP.
пакеты.
-X имя файла.xml
Запишите файл отчета DFXML в имя файла.xml. Файл содержит запись каждого tcp
подключения, как была скомпилирована программа tcpflow, и компьютер, на котором tcpflow
был запущен.
-Z Не распаковывайте сжатые потоки с помощью gzip.
ПРИМЕРЫ
Для записи всех пакетов, прибывающих или отправляющихся из заход солнца и извлеките все HTTP
вложения:
tcpflow -e scan_http -o превзойти кашель заход солнца
Для записи трафика между Гелиос и либо горячим or ас и объединить результаты в 1000 файлов
на каталог и вычислите MD5 каждого потока:
tcpflow -X отчет.xml -e scan_md5 -o превзойти -Фк кашель Гелиос и \( горячим or ас \)
Используйте tcpflow онлайн с помощью сервисов onworks.net
