Tcpflow: Утилита для Анализа Сетевого Трафика (потоки данных)

Tcpflow похож на tcpdump, но ориентирован на потоки данных в сети, а не на отдельные пакеты.

Особенности утилиты tcpflow:

  • Потокоориентированный Анализ: Tcpflow реконструирует потоки данных, позволяя пользователям видеть полную картину обмена данными между хостами.
  • Простота Чтения: В отличие от tcpdump, который представляет данные в виде пакетов, tcpflow упрощает анализ, предоставляя данные в виде непрерывных потоков, что упрощает чтение и понимание.
  • Файловая Структура: Tcpflow сохраняет данные каждого потока в отдельные файлы, что облегчает их анализ и сравнение.

Пример Использования Tcpflow для Анализа Docker

Допустим, вы хотите проанализировать сетевой трафик между Docker контейнерами. Запустите Tcpflow на Хосте Docker: Установите tcpflow на хост-систему Docker и запустите его, чтобы захватить трафик, идущий на или от контейнеров.

  1. Запустим тестовый контейнер в Docker, например:
    docker run -d --name tcplowtest alpine sleep 30d
  2. При помощи inspect выясним его Ip адресс: 
    docker inspect -f '{{.NetworkSettings.IPAddress}}' tcplowtest
172.17.0.2
  3. Запустим tcpflow для прослушивания нашего контейнера с ip 172.17.0.2 
    tcpflow -J -c -i docker0 'host 172.17.0.2'

Заключение

Tcpflow – мощный инструмент для анализа потоков данных. Его способность реконструировать потоки данных и представлять их в удобочитаемой форме делает его ценным инструментом для специалистов по сетевой безопасности, разработчиков и исследователей. Хотя он отличается от tcpdump, оба инструмента могут быть эффективно использованы вместе для более глубокого анализа сетевого трафика.

PQ VPS сервера в 28+ странах.