netflows

NetFlows to narzędzie do ekstrakcji i analizy przepływów sieciowych z plików pcap/pcapng. Automatycznie identyfikuje połączenia wychodzące, buduje tabelę rozwiązań DNS i mapuje adresy IP na nazwy hostów. Idealne do analizy urządzeń IoT — szybko zobaczysz, z jakimi usługami komunikuje się urządzenie, jakie porty wykorzystuje i gdzie kieruje swoje połączenia. Obsługuje filtrowanie po źródłowym adresie IP i generuje przejrzysty raport wszystkich kontaktowanych serwerów.

1. Przygotuj plik pcap lub pcapng zawierający zarejestrowane pakiety sieciowe z urządzenia, które chcesz analizować. 2. Uruchom podstawową analizę poleceniem netflows capture.pcap — narzędzie wyodrębni wszystkie unikalne przepływy TCP i UDP, zbuduje tabelę rozwiązań DNS z odpowiedzi zawartych w pliku i wyświetli adresy IP zmapowane na nazwy hostów. 3. Jeśli chcesz przeanalizować tylko połączenia z konkretnego urządzenia, użyj flagi --source-ip, na przykład netflows capture.pcap --source-ip 192.168.1.100 — wyfiltruje to przepływy tylko z tego adresu. 4. Aby przeanalizować wiele plików naraz, podaj je jako argumenty: netflows capture1.pcap capture2.pcapng. 5. Przejrzyj wyniki — zwróć uwagę na rozpoznane nazwy hostów (usługi chmurowe, serwery P2P), a także na adresy IP, które nie zostały rozwiązane i mogą wymagać dalszego zbadania.