Tcpxtract: Difference between revisions
Created page with 'Kirjutan sellest Mark-Erik Mogom AK21' |
No edit summary |
||
| (8 intermediate revisions by the same user not shown) | |||
| Line 1: | Line 1: | ||
==Sissejuhatus== | |||
'''tcpxtract''' on programm, mille abil saab võrguliiklusest failisignatuuri järgi välja otsida erinevat tüüpi faile - näiteks graafika-, video- või dokumendifaile. Sarnased programmid on veel Foremost [http://foremost.sourceforge.net/], driftnet [http://linux.die.net/man/1/driftnet] ja etherPEG [http://etherpeg.org/], kuid erinevalt neist on '''tcpxtract''' paremini skaleeruv ja võimaldab lihtsalt otsitavaid failitüüpe kasutajal lisada. Programmi autor on Nick Harbour. | |||
==Paigaldamine== | |||
'''tcpxtract''' on saadaval kõigis enamlevinud distributsioonides ja sõltub järgmistest pakkidest: libc6, libpcap0.8. | |||
Debiani ja Ubuntu all käib paigaldus järgmiselt: | |||
<pre> | |||
apt-get install libpcap0.8 tcpxtract | |||
</pre> | |||
==Kasutamine== | |||
Süntaks | |||
<pre> | |||
tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]] | |||
</pre> | |||
Võimalikud võtmed: | |||
<pre> | |||
--file, -f <FILE> | |||
</pre> | |||
valib sisendiks näidatud faili võrguseadme asemel | |||
<pre> | |||
--device, -d <DEVICE> | |||
</pre> | |||
määrab jälgitava võrguseadme | |||
<pre> | |||
--config, -c <FILE> | |||
</pre> | |||
kasutab näidatud faili konfiguratsioonifailina | |||
<pre> | |||
--output, -o <DIRECTORY> | |||
</pre> | |||
kirjutab failid näidatud kausta käesoleva kausta asemel | |||
<pre> | |||
--version, -v | |||
</pre> | |||
näitab versiooninumbrit | |||
<pre> | |||
--help, -h | |||
</pre> | |||
näitab abiinfot | |||
===Näited=== | |||
HTML faili püüdmine võrgukaardilt eth0 kataloogi /home/user/tcpdump | |||
<pre> | |||
tcpxtract -d eth0 -o /home/user/tcpdump & | |||
</pre> | |||
<pre> | |||
links live.hot.ee | |||
</pre> | |||
Tulemuseks on fail 00000000.html, mis antud juhul sisaldab http://live.hot.ee lehekülge. | |||
==Võimalikud kasutusvaldkonnad== | |||
'''tcpextract''' ja analoogid on põhiliselt kasutusel võrguliikluse uurimiseks, et tuvastada sealt kasutajate poolt liigutatavaid faile - ebasoovitavaid pilte, videosid või firmasaladusi sisaldavaid faile. | |||
==Kasutatud materjalid== | |||
http://tcpxtract.sourceforge.net/ | |||
http://taosecurity.blogspot.com/2006/01/network-forensic-traffic.html | |||
http://computer.forensikblog.de/en/2005/10/tcpxtract-version-10.html | |||
http://linux.die.net/man/1/tcpxtract | |||
http://packages.debian.org/squeeze/tcpxtract | |||
http://packages.ubuntu.com/hardy/tcpxtract | |||
http://rpmfind.net/linux/rpm2html/search.php?query=tcpxtract | |||
==Autor== | |||
Mark-Erik Mogom AK21 | Mark-Erik Mogom AK21 | ||
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]] | |||
Latest revision as of 20:29, 13 January 2013
Sissejuhatus
tcpxtract on programm, mille abil saab võrguliiklusest failisignatuuri järgi välja otsida erinevat tüüpi faile - näiteks graafika-, video- või dokumendifaile. Sarnased programmid on veel Foremost [1], driftnet [2] ja etherPEG [3], kuid erinevalt neist on tcpxtract paremini skaleeruv ja võimaldab lihtsalt otsitavaid failitüüpe kasutajal lisada. Programmi autor on Nick Harbour.
Paigaldamine
tcpxtract on saadaval kõigis enamlevinud distributsioonides ja sõltub järgmistest pakkidest: libc6, libpcap0.8. Debiani ja Ubuntu all käib paigaldus järgmiselt:
apt-get install libpcap0.8 tcpxtract
Kasutamine
Süntaks
tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]]
Võimalikud võtmed:
--file, -f <FILE>
valib sisendiks näidatud faili võrguseadme asemel
--device, -d <DEVICE>
määrab jälgitava võrguseadme
--config, -c <FILE>
kasutab näidatud faili konfiguratsioonifailina
--output, -o <DIRECTORY>
kirjutab failid näidatud kausta käesoleva kausta asemel
--version, -v
näitab versiooninumbrit
--help, -h
näitab abiinfot
Näited
HTML faili püüdmine võrgukaardilt eth0 kataloogi /home/user/tcpdump
tcpxtract -d eth0 -o /home/user/tcpdump &
links live.hot.ee
Tulemuseks on fail 00000000.html, mis antud juhul sisaldab http://live.hot.ee lehekülge.
Võimalikud kasutusvaldkonnad
tcpextract ja analoogid on põhiliselt kasutusel võrguliikluse uurimiseks, et tuvastada sealt kasutajate poolt liigutatavaid faile - ebasoovitavaid pilte, videosid või firmasaladusi sisaldavaid faile.
Kasutatud materjalid
http://tcpxtract.sourceforge.net/
http://taosecurity.blogspot.com/2006/01/network-forensic-traffic.html
http://computer.forensikblog.de/en/2005/10/tcpxtract-version-10.html
http://linux.die.net/man/1/tcpxtract
http://packages.debian.org/squeeze/tcpxtract
http://packages.ubuntu.com/hardy/tcpxtract
http://rpmfind.net/linux/rpm2html/search.php?query=tcpxtract
Autor
Mark-Erik Mogom AK21
