Tcpflow: Утилита для Анализа Сетевого Трафика (потоки данных)

Tcpflow похож на tcpdump, но ориентирован на потоки данных в сети, а не на отдельные пакеты.

Особенности утилиты tcpflow:

• Потокоориентированный Анализ: Tcpflow реконструирует потоки данных, позволяя пользователям видеть полную картину обмена данными между хостами.
• Простота Чтения: В отличие от tcpdump, который представляет данные в виде пакетов, tcpflow упрощает анализ, предоставляя данные в виде непрерывных потоков, что упрощает чтение и понимание.
• Файловая Структура: Tcpflow сохраняет данные каждого потока в отдельные файлы, что облегчает их анализ и сравнение.

Допустим, вы хотите проанализировать сетевой трафик между Docker контейнерами. Запустите Tcpflow на Хосте Docker: Установите tcpflow на хост-систему Docker и запустите его, чтобы захватить трафик, идущий на или от контейнеров.

1. Запустим тестовый контейнер в Docker, например:

   docker run -d --name tcplowtest alpine sleep 30d

2. При помощи inspect выясним его Ip адресс:

   docker inspect -f '{{.NetworkSettings.IPAddress}}' tcplowtest
   172.17.0.2

3. Запустим tcpflow для прослушивания нашего контейнера с ip 172.17.0.2

   tcpflow -J -c -i docker0 'host 172.17.0.2'

Tcpflow – мощный инструмент для анализа потоков данных. Его способность реконструировать потоки данных и представлять их в удобочитаемой форме делает его ценным инструментом для специалистов по сетевой безопасности, разработчиков и исследователей. Хотя он отличается от tcpdump, оба инструмента могут быть эффективно использованы вместе для более глубокого анализа сетевого трафика.