Создание загрузочной флешки с Kali Linux

Приведу пример создания загрузочной флешки с Kali Linux.
Kali Linux — инструмент проведения тестов на безопасность.

Читать далее «Создание загрузочной флешки с Kali Linux»

Открытие и анализ файлов созданных при помощи NetFlow

Приведу пример просмотра статистики:

cat ft-v05.2015-05-01.000759+0300 | flow-stat -f 10 -S 3 | less
cat ft-v05.2015-05-01.000759+0300 | flow-stat -n -p -w -f 26 -S 2 | less
flow-cat ft-v05.2017-12-07.170236+0200 | flow-print | less

Подсказки о flow-stat можно увидеть набрав команду:

man flow-stat

Приведу пример экспорта данных в другой формат (например в csv, который потом можно открыть в окнах любой удобной программой):

flow-cat ft-v05.2015-05-01.000759+0300 | flow-export -f 2 | less
flow-cat ft-v05.2015-05-01.000759+0300 | flow-export -f 2 > csv.csv

Вывести список только с указанным source адресом можно следующей командой:

flowdumper -se '"192.168.0.1" eq $srcip' ft-v05.2015-06-17.175701+0300

Экспортировать список только с указанным source адресом в файл можно например следующей командой:

flowdumper -se '"192.168.0.1" eq $srcip' ft-v05.2015-06-17.175701+0300 > file.txt

Пример экспорта из нескольких файлов:

flowdumper -se '"192.168.0.1" eq $srcip' /backup/flows/acct/first/2016/2016-01/ft-v05.2015-06-17* > /backup/result.txt

Смотрите также:
Установка и использование flow-tools

Настройка и использование Traffic Flow в Mikrotik

Включение Traffic Flow на маршрутизаторе Mikrotik:

ip traffic-flow set enabled=yes cache-entries=4k set active-flow-timeout=30m inactive-flow-timeout=15s interfaces=all

Просмотр настроек:

ip traffic-flow print

Указание IP-адреса и порта компьютера, который будет принимать пакеты Traffic-Flow:

ip traffic-flow target add address=192.168.88.240:1234 disabled=no version=9 v9-template-refresh=20 v9-template-timeout=30m

или

ip traffic-flow target add address=192.168.88.240:1234 disabled=no version=5

Просмотр настроек:

ip traffic-flow target print

Для настройки через графический интерфейс настройки можно найти в меню IP -> Traffic Flow.

Для мониторинга под Windows можно установить программу ManageEngine NetFlow Analyzer, которая будет работать как сервер, принимать пакеты с указанного порта и формировать графики и статистику через web-сервер, которые можно открыть браузером.

Для мониторинга под Linux можно установить и настроить например flow-tools.

Установка и использование снифферов Tshark & Wireshark

Wireshark (ранее — Ethereal) — программа-анализатор трафика для компьютерных сетей. Tshark — консольная версия, wireshark — версия с графическим интерфейсом.

Устанавливаем:

sudo apt-get install wireshark tshark

Официальный сайт:
wireshark.org
wiki.wireshark.org/FrontPage
Информация на википедии: ru.wikipedia.org/wiki/Wireshark

Справку о tshark можно получить командой:

tshark -h

Пример команды запуска:

tshark -i eth0 -w 'log.txt' -S

Смотрим какие есть сетевые интерфейсы:

tshark -D

После ввода вышеуказаной команды мы увидим пронумерованый список, в последующих командах интерфейс можно указывать по номеру в списке, например: -i 2 вместо -i eth1.

Примеры фильтров:

tshark -i eth0 'tcp port 80'
UDP и TCP трафик на порт 80:
tshark -i eth0 'port 80'
tshark -i eth0 'tcp port 110 or tcp port 25'
tshark -i eth0 'not broadcast and not multicast'
tshark -i eth0 icmp
tshark -i eth0 'host 192.168.0.3'
tshark -i eth0 'host domain.com'
tshark -i eth0 'not host 192.168.0.3'
tshark -r 'log.txt' -V | more
tshark -r 'log.txt' -w 'file.txt' -F visual
tshark -r 'log.txt' -V > 'output.txt'

В случае ошибки «You don’t have permission to capture on that device» или когда tshark не видит сетевые интерфейсы, можно выполнить следующие команды:

su
groupadd wireshark
usermod -a -G wireshark имя_пользователя
newgrp wireshark
chgrp wireshark /usr/bin/dumpcap
chmod 750 /usr/bin/dumpcap
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap