Ağ Üzerinden Pasif Veri Yedekleme Aracı:tcpxtract

tcpxtract Linux/UNIX sistemlerde data carving amaclı kullanılan açık kod bir yazılımdır. Daha çok adli bilişim analiz çalışmalarında kullanılır. Bu yazılımı ağ üzerinde tüm trafiği görecek şekilde konumlandırılıp(SPAN portu, TAP cihazı kullanarak ) trafik içerisinde geçen dosyaların orjinal hallerini diske kaydedebilirsiniz. Mesela şirket ağından dışarıya gönderilen ofis dosyaları, internetten indirilen resim, muzik ve görsel medyaların bir kopyasını almak için tcpxtract kullanılabilir.

Tcpxtract kullanarak akan trafikten anlık olarak olarak verileri yedekleyebileceği gibi pcap formatında kaydedilmiş(tcpdump, Wireshark vs) paketler içerisinden de orjinal verileri ayıklamak için kullanılabilir.

Tcpxtract ile akan trafikten veri ayıklama

parametre olarak trafiğin geçtiği arabirim verilirse o arabiri üzerinden geçen ve konfigurasyon dosyasında belirtilen tüm dosyalar diske kaydedilir.

# tcpxtract -d eth0
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.2.1.13:7111], exporting to 00000000.pdf

Tcpdump ile kaydedilmis trafik uzerinden veri ayıklama

# tcpdump -i eth0 -s0 tcp port 80 -w file
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C634 packets captured
634 packets received by filter
0 packets dropped by kernel

tcpdump ile kaydedilen paketler tcpxtract’a parametre olarak verilirse içeriğinden istenen dosyalar ayıklanabilir

# tcpxtract -f file
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.200.169.163:2979], exporting to 00000000.pdf

Detay bilgi almak ve bu yazılımı denemek isterseniz http://tcpxtract.sourceforge.net/ adresi işinizi görecektir.

This entry was posted in Network Tools and tagged , , . Bookmark the permalink.

1 Response to Ağ Üzerinden Pasif Veri Yedekleme Aracı:tcpxtract

  1. Necati Demir says:

    tcpxtract deyince aklıma chaosreader[1] geldi.

    [1]http://chaosreader.sourceforge.net/

Leave a Reply

Your email address will not be published. Required fields are marked *

five × 1 =