systeme:tcpdump
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
systeme:tcpdump [2010/03/19 23:07] – root | systeme:tcpdump [2015/08/16 08:55] (Version actuelle) – root | ||
---|---|---|---|
Ligne 10: | Ligne 10: | ||
Capturer toutes les connexions, qui ont pour source une adresse IP commençant par 192.168. : | Capturer toutes les connexions, qui ont pour source une adresse IP commençant par 192.168. : | ||
- | | + | |
Capturer toutes les connexions, qui ont pour destination une adresse IP bien précise : | Capturer toutes les connexions, qui ont pour destination une adresse IP bien précise : | ||
- | | + | |
Isoler toutes les connexions qui utilisent le port 80 (http) : | Isoler toutes les connexions qui utilisent le port 80 (http) : | ||
- | | + | |
On pourra également isoler la source ou la destination. Ici on ne souhaite capturer que les envois de mails (port 25 en destination) : | On pourra également isoler la source ou la destination. Ici on ne souhaite capturer que les envois de mails (port 25 en destination) : | ||
- | | + | |
Ligne 32: | Ligne 32: | ||
Si je souhaite capturer toutes les connexions réseaux qui vont de l' | Si je souhaite capturer toutes les connexions réseaux qui vont de l' | ||
- | | + | |
Vous l'avez peut-être remarqué, mais toutes ces commandes n' | Vous l'avez peut-être remarqué, mais toutes ces commandes n' | ||
Ligne 46: | Ligne 46: | ||
* capturer un mot de passe FTP : | * capturer un mot de passe FTP : | ||
- | | + | |
* Récupérer un cookie de session, d'un utilisateur authentifié sur un site web : | * Récupérer un cookie de session, d'un utilisateur authentifié sur un site web : | ||
- | | + | |
* Capturer des emails envoyés sur le réseau (ici on prend une longueur de 20 lignes, à adapter selon la taille du message): | * Capturer des emails envoyés sur le réseau (ici on prend une longueur de 20 lignes, à adapter selon la taille du message): | ||
- | | + | |
* capturer des conversations msn (longueur de 10 lignes à adapter aussi selon la taille du message) : | * capturer des conversations msn (longueur de 10 lignes à adapter aussi selon la taille du message) : | ||
- | | + | |
On comprend ici très rapidement l' | On comprend ici très rapidement l' | ||
Ligne 84: | Ligne 84: | ||
exemple: | exemple: | ||
$ sudo tcpdump ' | $ sudo tcpdump ' | ||
+ | |||
+ | |||
+ | ====== Exploitation des paquets avec Wireshark ====== | ||
+ | |||
+ | Il est possible d’enregistrer les paquets capturés dans un fichier et ainsi de les analyser plus tard, sur une autre machine éventuellement, | ||
+ | |||
+ | L’enregistrement des paquets se fait en utilisant l’option -w qui dit à tcpdump d’enregister les paquets bruts dans un fichier. Par exemple: | ||
+ | |||
+ | $ sudo tcpdump -Xvvnns0 port 80 -w dump.cap | ||
+ | |||
+ | Ensuite il ne reste plus qu’à analyser le fichier dump.cap dans Wireshark en le lançant avec le nom de fichier en argument: | ||
+ | |||
+ | $ wireshark -r dump.cap | ||
+ | |||
+ | ====== Décoder les paquets CDP ou LLDP packets ====== | ||
+ | Cela permet entre autre de voir sur quel numéro de port de quel switch est branché notre serveur : | ||
+ | |||
+ | $ tcpdump -i eth0 -v -s 1500 -c 1 ' | ||
systeme/tcpdump.1269040053.txt.gz · Dernière modification : 2010/03/19 23:07 de root