Tcpxtract: Difference between revisions
No edit summary |
No edit summary |
||
| (6 intermediate revisions by the same user not shown) | |||
| Line 1: | Line 1: | ||
==Sissejuhatus== | ==Sissejuhatus== | ||
tcpxtract on programm, mille abil saab võrguliiklusest failisignatuuri järgi välja otsida | '''tcpxtract''' on programm, mille abil saab võrguliiklusest failisignatuuri järgi välja otsida erinevat tüüpi faile - näiteks graafika-, video- või dokumendifaile. Sarnased programmid on veel Foremost [http://foremost.sourceforge.net/], driftnet [http://linux.die.net/man/1/driftnet] ja etherPEG [http://etherpeg.org/], kuid erinevalt neist on '''tcpxtract''' paremini skaleeruv ja võimaldab lihtsalt otsitavaid failitüüpe kasutajal lisada. Programmi autor on Nick Harbour. | ||
== | ==Paigaldamine== | ||
'''tcpxtract''' on saadaval kõigis enamlevinud distributsioonides ja sõltub järgmistest pakkidest: libc6, libpcap0.8. | |||
Debiani ja Ubuntu all käib paigaldus järgmiselt: | |||
<pre> | |||
apt-get install libpcap0.8 tcpxtract | |||
</pre> | |||
==Kasutamine== | |||
Süntaks | |||
<pre> | <pre> | ||
tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]] | tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]] | ||
| Line 35: | Line 45: | ||
</pre> | </pre> | ||
näitab abiinfot | näitab abiinfot | ||
===Näited=== | |||
HTML faili püüdmine võrgukaardilt eth0 kataloogi /home/user/tcpdump | |||
<pre> | |||
tcpxtract -d eth0 -o /home/user/tcpdump & | |||
</pre> | |||
<pre> | |||
links live.hot.ee | |||
</pre> | |||
Tulemuseks on fail 00000000.html, mis antud juhul sisaldab http://live.hot.ee lehekülge. | |||
==Võimalikud kasutusvaldkonnad== | |||
'''tcpextract''' ja analoogid on põhiliselt kasutusel võrguliikluse uurimiseks, et tuvastada sealt kasutajate poolt liigutatavaid faile - ebasoovitavaid pilte, videosid või firmasaladusi sisaldavaid faile. | |||
==Kasutatud materjalid== | ==Kasutatud materjalid== | ||
| Line 57: | Line 84: | ||
[[Category:Operatsioonisüsteemide administreerimine]] | [[Category:Operatsioonisüsteemide administreerimine ja sidumine]] | ||
Latest revision as of 21:29, 13 January 2013
Sissejuhatus
tcpxtract on programm, mille abil saab võrguliiklusest failisignatuuri järgi välja otsida erinevat tüüpi faile - näiteks graafika-, video- või dokumendifaile. Sarnased programmid on veel Foremost [1], driftnet [2] ja etherPEG [3], kuid erinevalt neist on tcpxtract paremini skaleeruv ja võimaldab lihtsalt otsitavaid failitüüpe kasutajal lisada. Programmi autor on Nick Harbour.
Paigaldamine
tcpxtract on saadaval kõigis enamlevinud distributsioonides ja sõltub järgmistest pakkidest: libc6, libpcap0.8. Debiani ja Ubuntu all käib paigaldus järgmiselt:
apt-get install libpcap0.8 tcpxtract
Kasutamine
Süntaks
tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]]
Võimalikud võtmed:
--file, -f <FILE>
valib sisendiks näidatud faili võrguseadme asemel
--device, -d <DEVICE>
määrab jälgitava võrguseadme
--config, -c <FILE>
kasutab näidatud faili konfiguratsioonifailina
--output, -o <DIRECTORY>
kirjutab failid näidatud kausta käesoleva kausta asemel
--version, -v
näitab versiooninumbrit
--help, -h
näitab abiinfot
Näited
HTML faili püüdmine võrgukaardilt eth0 kataloogi /home/user/tcpdump
tcpxtract -d eth0 -o /home/user/tcpdump &
links live.hot.ee
Tulemuseks on fail 00000000.html, mis antud juhul sisaldab http://live.hot.ee lehekülge.
Võimalikud kasutusvaldkonnad
tcpextract ja analoogid on põhiliselt kasutusel võrguliikluse uurimiseks, et tuvastada sealt kasutajate poolt liigutatavaid faile - ebasoovitavaid pilte, videosid või firmasaladusi sisaldavaid faile.
Kasutatud materjalid
http://tcpxtract.sourceforge.net/
http://taosecurity.blogspot.com/2006/01/network-forensic-traffic.html
http://computer.forensikblog.de/en/2005/10/tcpxtract-version-10.html
http://linux.die.net/man/1/tcpxtract
http://packages.debian.org/squeeze/tcpxtract
http://packages.ubuntu.com/hardy/tcpxtract
http://rpmfind.net/linux/rpm2html/search.php?query=tcpxtract
Autor
Mark-Erik Mogom AK21
