systeme:tcpdump
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
systeme:tcpdump [2009/03/14 23:38] – édition externe 127.0.0.1 | systeme:tcpdump [2015/08/16 08:55] (Version actuelle) – root | ||
---|---|---|---|
Ligne 10: | Ligne 10: | ||
Capturer toutes les connexions, qui ont pour source une adresse IP commençant par 192.168. : | Capturer toutes les connexions, qui ont pour source une adresse IP commençant par 192.168. : | ||
- | | + | |
Capturer toutes les connexions, qui ont pour destination une adresse IP bien précise : | Capturer toutes les connexions, qui ont pour destination une adresse IP bien précise : | ||
- | | + | |
Isoler toutes les connexions qui utilisent le port 80 (http) : | Isoler toutes les connexions qui utilisent le port 80 (http) : | ||
- | | + | |
On pourra également isoler la source ou la destination. Ici on ne souhaite capturer que les envois de mails (port 25 en destination) : | On pourra également isoler la source ou la destination. Ici on ne souhaite capturer que les envois de mails (port 25 en destination) : | ||
- | | + | |
Ligne 32: | Ligne 32: | ||
Si je souhaite capturer toutes les connexions réseaux qui vont de l' | Si je souhaite capturer toutes les connexions réseaux qui vont de l' | ||
- | | + | |
Vous l'avez peut-être remarqué, mais toutes ces commandes n' | Vous l'avez peut-être remarqué, mais toutes ces commandes n' | ||
Ligne 46: | Ligne 46: | ||
* capturer un mot de passe FTP : | * capturer un mot de passe FTP : | ||
- | | + | |
* Récupérer un cookie de session, d'un utilisateur authentifié sur un site web : | * Récupérer un cookie de session, d'un utilisateur authentifié sur un site web : | ||
- | | + | |
* Capturer des emails envoyés sur le réseau (ici on prend une longueur de 20 lignes, à adapter selon la taille du message): | * Capturer des emails envoyés sur le réseau (ici on prend une longueur de 20 lignes, à adapter selon la taille du message): | ||
- | | + | |
* capturer des conversations msn (longueur de 10 lignes à adapter aussi selon la taille du message) : | * capturer des conversations msn (longueur de 10 lignes à adapter aussi selon la taille du message) : | ||
- | | + | |
On comprend ici très rapidement l' | On comprend ici très rapidement l' | ||
Ligne 65: | Ligne 65: | ||
Aller plus loin : man tcpdump | Aller plus loin : man tcpdump | ||
Logiciel équivalent proposant une interface graphique : WireShark (anciennement appelé Ethereal) | Logiciel équivalent proposant une interface graphique : WireShark (anciennement appelé Ethereal) | ||
+ | |||
+ | |||
+ | ====== Filtrage suivant les flags TCP ====== | ||
+ | |||
+ | Il est possible aussi de filtrer en fonction des flags contenus dans l’entête TCP. Ces flags sont: | ||
+ | < | ||
+ | * SYN-ACK ‘tcp[13] = 18′ | ||
+ | * FIN ‘tcp[13] & 1 != 0′ | ||
+ | * SYN ‘tcp[13] & 2 != 0′ | ||
+ | * RST ‘tcp[13] & 4 != 0′ | ||
+ | * PSH ‘tcp[13] & 8 != 0′ | ||
+ | * ACK ‘tcp[13] & 16 != 0′ | ||
+ | * URG ‘tcp[13] & 32 != 0′ | ||
+ | </ | ||
+ | |||
+ | Ceci signifie qu’on prend le 13ième octet dans l’entête TCP (tcp[13]). Chaque bit de cet octet représente un flag. On effectue ensuite une opération logique pour obtenir la valeur de ce bit et on le test par rapport à 0. | ||
+ | |||
+ | exemple: | ||
+ | $ sudo tcpdump ' | ||
+ | |||
+ | |||
+ | ====== Exploitation des paquets avec Wireshark ====== | ||
+ | |||
+ | Il est possible d’enregistrer les paquets capturés dans un fichier et ainsi de les analyser plus tard, sur une autre machine éventuellement, | ||
+ | |||
+ | L’enregistrement des paquets se fait en utilisant l’option -w qui dit à tcpdump d’enregister les paquets bruts dans un fichier. Par exemple: | ||
+ | |||
+ | $ sudo tcpdump -Xvvnns0 port 80 -w dump.cap | ||
+ | |||
+ | Ensuite il ne reste plus qu’à analyser le fichier dump.cap dans Wireshark en le lançant avec le nom de fichier en argument: | ||
+ | |||
+ | $ wireshark -r dump.cap | ||
+ | |||
+ | ====== Décoder les paquets CDP ou LLDP packets ====== | ||
+ | Cela permet entre autre de voir sur quel numéro de port de quel switch est branché notre serveur : | ||
+ | |||
+ | $ tcpdump -i eth0 -v -s 1500 -c 1 ' | ||
systeme/tcpdump.1237073933.txt.gz · Dernière modification : 2010/03/19 23:07 (modification externe)