TCPflow是一款功能强大的、基于命令行的免费开源工具,用于在Unix之类的系统(如Linux)上分析网络流量。它可捕获通过TCP连接接收或传输的数据,并存储在文件中供以后分析,采用的格式便于协议分析和调试。

它实际上是类似tcpdump的工具,因为它处理来自网络或存储文件的数据包。它同样支持tcpdump支持的功能强大的过滤表达式。唯一的区别是,tcpflow让所有TCP数据包井然有序,并在单独的文件(每路方向的数据流有一个文件)中组装每路数据流,供以后分析。

功能特性包括一个高级插件系统,用于解压缩压缩的HTTP连接、撤消MIME编码或调用后期处理的第三方程序等等。

TCPflow有许多使用场景,包括了解网络数据包流量,还支持执行网络取证分析和泄露HTTP会话的内容。

如何在Linux系统中安装TCPflow?

TCPflow可以在主流GNU/Linux发行版的官方代码仓库中找到,可以使用软件包管理器安装它,如下所示。

  1. $ sudo apt install tcpflow #Debian/Ubuntu
  2. $ sudo yum install tcpflow #CentOS/RHEL
  3. $ sudo dnf install tcpflow #Fedora 22+

安装TCPflow后,可以用超级用户权限来运行它,不然使用sudo命令。注意:它可侦听活动的网络接口(比如enp0s3)。

  1. $ sudo tcpflow
  2. tcpflow: listening on enp0s3

默认情况下,TCPflow将所有捕获的数据存储在表单中有名称的文件中(如果你使用某些选项,比如timestamp,这可能不一样)。

  1. sourceip.sourceport-destip.destport
  2. 192.168.043.031.52920-216.058.210.034.00443

现在不妨列出目录,看看TCP流量是否已捕获在任何文件中。

  1. $ ls -1
  2. total 20
  3. -rw-r--r--. 1 root root 808 Sep 19 12:49 192.168.043.031.52920-216.058.210.034.00443
  4. -rw-r--r--. 1 root root 59 Sep 19 12:49 216.058.210.034.00443-192.168.043.031.52920

如上所述,每路TCP流量存储在各自的文件中。从上面输出可以看出,有三个记录文件(transcript file),这表明TCPflow呈两个截然不同的方向,源IP在第一个文件中,目的地IP在第二个文件中,反之亦然。

第一个文件192.168.043.031.52920-216.058.210.034.00443含有从主机192.168.043.031(TCPflow运行所在的localhost,通过端口52920)传输到主机216.058.210.034(远程主机,通过端口443)的数据。

而第二个文件216.058.210.034.00443-192.168.043.031.52920含有从主机216.058.210.034(远程主机,通过端口443)传输到主机192.168.043.031(TCPflow运行所在的localhost,通过端口52920)的数据。

还生成了一个XML报告,含有关于该程序的信息,比如它是如何编译的、它在哪台计算机上运行以及每条TCP连接的记录。

你可能注意到了,TCPflow默认情况下将记录文件存储在当前目录下。-o选项可帮助你指定将写入文件的输出目录。

  1. $ sudo tcpflow -o tcpflow_files
  2. $ sudo ls -l tcpflow_files
  3. total 32
  4. -rw-r--r--. 1 root root 1665 Sep 19 12:56 157.240.016.035.00443-192.168.000.103.45986
  5. -rw-r--r--. 1 root root 45 Sep 19 12:56 169.044.082.101.00443-192.168.000.103.55496
  6. -rw-r--r--. 1 root root 2738 Sep 19 12:56 172.217.166.046.00443-192.168.000.103.39954
  7. -rw-r--r--. 1 root root 68 Sep 19 12:56 192.168.000.102.00022-192.168.000.103.42436
  8. -rw-r--r--. 1 root root 573 Sep 19 12:56 192.168.000.103.39954-172.217.166.046.00443
  9. -rw-r--r--. 1 root root 4067 Sep 19 12:56 192.168.000.103.45986-157.240.016.035.00443
  10. -rw-r--r--. 1 root root 38 Sep 19 12:56 192.168.000.103.55496-169.044.082.101.00443
  11. -rw-r--r--. 1 root root 3159 Sep 19 12:56 report.xml

你还可以将数据包的内容输出到stdout,并不将任何捕获的数据存储到文件,只需使用-c标志,如下所示。

想有效地进行测试,打开第二个端口,运行ping,或浏览互联网。你应该能够看到ping细节或浏览细节已被TCPflow捕获。

  1. $ sudo tcpflow -c

可以捕获某个端口上的所有流量,比如端口80(HTTP)。以HTTP流量为例,你可以看到HTTP Headers以及随后的内容都在stdout上;如果去除-c参数选项符,它们都在一个文件中。

  1. $ sudo tcpflow port 80

想捕获来自某个网络接口的数据包,使用-i标志来指定接口名称。

  1. $ sudo tcpflow -i eth0 port 80

还可以指定目标主机(接受的值是IP地址、主机名或域名),如下所示:

  1. $ sudo tcpflow -c host 192.68.43.1

OR

  1. $ sudo tcpflow -c host www.google.com

你可以使用-a标志,启用使用所有浏览器的所有处理,这相当于-e all参数选项符。

  1. $ sudo tcpflow -a

OR

  1. $ sudo tcpflow -e all

还可以激活特定的扫描器;可用的扫描器包括md5、http、netviz、tcpdemux和wifiviz(运行tcpflow –H,即可查看关于每个扫描器的详细信息)。

  1. $ sudo tcpflow -e http

OR

  1. $ sudo tcpflow -e md5

OR

  1. $ sudo tcpflow -e netviz

OR

  1. $ sudo tcpflow -e tcpdemux

OR

  1. $ sudo tcpflow -e wifiviz

下面这个例子显示了如何启用除tcpdemux之外的所有扫描器。

  1. $ sudo tcpflow -a -x tcpdemux

TCPflow通常在捕获数据包之前试图让网络接口处于混杂模式。可以使用-p标志来阻止这种模式,如下所示:

  1. $ sudo tcpflow -p -i eth0

想读取来自tcpdump pcap文件的数据包,使用-r标志。

  1. $ sudo tcpflow -f file.pcap

可以使用-v或-d 10选项启用详细模式。

  1. $ sudo tcpflow -v

OR

  1. $ sudo tcpflow -d 10

重要提醒:TCPflow的一个局限性是,目前它不了解IP片段,因而可能无法正确捕获作为TCP连接的一部分而传输的含有IP片段的数据。

想了解更多信息和用法选项,请参阅TCPflow参考手册页。

  1. $ man tcpflow

TCPflow Github代码仓库:https://github.com/simsong/tcpflow

就是这样!TCPflow是一款功能强大的TCP流量记录器,适用于了解网络数据包流量、执行网络取证分析等等。试用一下,欢迎交流心得。

TCPflow:在Linux中分析和调试网络流量的利器(转)的更多相关文章

  1. Linux 中 IDEA 不能调试(Debug)项目

    问题描述: can't debug project on idea linux. 在Linux 中, IDEA能运行项目,但是点击调试项目,弹出警告.警告内容如下: Required connecto ...

  2. linux系统CPU,内存,磁盘,网络流量监控脚本

    前序 1,#cat /proc/stat/ 信息包含了所有CPU活动的信息,该文件中的所有值都是从系统启动开始累积到当前时刻 2,#vmstat –s 或者#vmstat 虚拟内存统计 3, #cat ...

  3. linux中重启网卡后网络不通(NetworkManager篇)

    1.问题描述 RHEL7.6系统,使用nmcli绑定双网卡后,在使用以下命令重启network服务后主机网络异常,导致无法通过ssh远程登录系统. systemctl restart network ...

  4. Linux 笔记 - 第十三章 Linux 系统日常管理之(四)Linux 中 rsync 工具和网络配置

    博客地址:http://www.moonxy.com 一.前言 rsync 命令是一个远程数据同步工具,可通过 LAN/WAN 快速同步多台主机间的文件,可以理解为 remote sync(远程同步) ...

  5. Linux中oops信息调试【转】

    1.Oops 信息来源及格式 Oops 这个单词含义为“惊讶”,当内核出错时(比如访问非法地址)打印出来的信息被称为 Oops 信息. 2.Oops 信息包含以下几部分内容 2.1 一段文本描述信息. ...

  6. Linux中C程序调试、makefile

    gcc基本语法格式:gcc [-选项] 源文件 [-选项] 目标文件,GCC编译C程序的过程: 预处理:gcc -E hello.c hello.i.-E指定执行到预处理结束,下面类似. 编译:gcc ...

  7. Linux中获取本机网络信息的几个函数及应用

    一.读取/etc/hosts 几个函数 头文件<netdb.h> 1.void sethostent(int stayopen);//开打/etc/hosts 配置文件 2.struct ...

  8. Linux中的gdb调试方法总结

  9. linux nethogs-终端下的网络流量监控工具

    推荐:更多linux 性能监测与优化 关注:linux命令大全 有很多适用于Linux系统的开源网络监视工具.比如说,你可以用命令iftop来检查带宽使用情况.netstat用来查看接口统计报告,还有 ...

随机推荐

  1. 记录-外挂recovery的制作(魅蓝note)

    安卓的开源使其具有很强的可定制性,对于用户来说很具有可玩性.玩机一般来说就是解锁BootLoader刷入第三方recovery,利用第三方recovery刷第三方ROM,刷supersu获取root权 ...

  2. RuntimeWarning: Parent module 'test_project.test_case' not found while handling absolute

    1.Pycharm2016.3.2,导入unittest框架后,运行脚本总是warming,但不影响脚本具体执行 2.通过网上查询,将"C:\Program Files\JetBrains\ ...

  3. ASP.NET页面之间传值的几种方式

    1.  QueryString 当页面上的form以get方式向页面发送请求数据时,web server将请求数据放入一名为QEURY_STRING的环境变量中,QeueryString方法从这个变量 ...

  4. Android 调用QQ登录

    调用QQ登录        在如今的项目开发.调用第三方登录.差点儿是必须的,而调用QQ登录也是不可缺少的,这里把相关代码分享出来,希望能拿去就能够用,降低项目开发的时间.希望对大家实用. 1,去QQ ...

  5. IOS8 UIAlertController 弹框

    本文转载至 http://blog.csdn.net/jinkaiouyang/article/details/35551769 IOS8中,Apple将UIActionSheet和UIAlertVi ...

  6. EasyIPCamera通过RTSP协议接入海康、大华等摄像机,摒弃私有SDK接入弊端

    本文转自博客:http://blog.csdn.net/xinlanbobo/article/details/53156742 近期工作中需要开发一套视频监控系统,实现WEB端.手机APP端预览局域网 ...

  7. Open Source Streaming Server--EasyDarwin

    Welcome to EasyDarwin Streaming Server, which is an open source Streaming Server Based On Appple's D ...

  8. Boost智能指针——scoped_ptr

    boost::scoped_ptr和std::auto_ptr非常类似,是一个简单的智能指针,它能够保证在离开作用域后对象被自动释放. 上一段代码,以及其输出: #include <string ...

  9. Objective-c继承与组合

    Objective-C 继承 继承:是一种XXX是XXX的关系.例如:学生是人,所以学生与人就是继承的关系. #import <Foundation/Foundation.h> @inte ...

  10. KeyChain相关参数的说明

    #pragma mark- 密钥类型 //密钥类型键 //CFTypeRef kSecClass // //值 //CFTypeRef kSecClassGenericPassword         ...