sniffer — IT Blog

Создание загрузочной флешки с Kali Linux

Приведу пример создания загрузочной флешки с Kali Linux.
Kali Linux — инструмент проведения тестов на безопасность.

Открытие и анализ файлов созданных при помощи NetFlow

Приведу пример просмотра статистики:

cat ft-v05.2015-05-01.000759+0300 | flow-stat -f 10 -S 3 | less
cat ft-v05.2015-05-01.000759+0300 | flow-stat -n -p -w -f 26 -S 2 | less
flow-cat ft-v05.2017-12-07.170236+0200 | flow-print | less

Подсказки о flow-stat можно увидеть набрав команду:

man flow-stat

Приведу пример экспорта данных в другой формат (например в csv, который потом можно открыть в окнах любой удобной программой):

flow-cat ft-v05.2015-05-01.000759+0300 | flow-export -f 2 | less
flow-cat ft-v05.2015-05-01.000759+0300 | flow-export -f 2 > csv.csv

Вывести список только с указанным source адресом можно следующей командой:

flowdumper -se '"192.168.0.1" eq $srcip' ft-v05.2015-06-17.175701+0300

Экспортировать список только с указанным source адресом в файл можно например следующей командой:

flowdumper -se '"192.168.0.1" eq $srcip' ft-v05.2015-06-17.175701+0300 > file.txt

Пример экспорта из нескольких файлов:

flowdumper -se '"192.168.0.1" eq $srcip' /backup/flows/acct/first/2016/2016-01/ft-v05.2015-06-17* > /backup/result.txt

Смотрите также:
Установка и использование flow-tools

Настройка и использование Traffic Flow в Mikrotik

Включение Traffic Flow на маршрутизаторе Mikrotik:

ip traffic-flow set enabled=yes cache-entries=4k set active-flow-timeout=30m inactive-flow-timeout=15s interfaces=all

Просмотр настроек:

ip traffic-flow print

Указание IP-адреса и порта компьютера, который будет принимать пакеты Traffic-Flow:

ip traffic-flow target add address=192.168.88.240:1234 disabled=no version=9 v9-template-refresh=20 v9-template-timeout=30m

или

ip traffic-flow target add address=192.168.88.240:1234 disabled=no version=5

Просмотр настроек:

ip traffic-flow target print

Для настройки через графический интерфейс настройки можно найти в меню IP -> Traffic Flow.

Для мониторинга под Windows можно установить программу ManageEngine NetFlow Analyzer, которая будет работать как сервер, принимать пакеты с указанного порта и формировать графики и статистику через web-сервер, которые можно открыть браузером.

Для мониторинга под Linux можно установить и настроить например flow-tools.

Установка и использование Tshark & Wireshark

Wireshark (ранее — Ethereal) — программа-анализатор трафика для компьютерных сетей. Tshark — консольная версия, wireshark — версия с графическим интерфейсом.