systeme:tcpdump
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
systeme:tcpdump [2009/03/14 23:38] – édition externe 127.0.0.1 | systeme:tcpdump [2015/08/16 08:54] – [Exploitation des paquets avec Wireshark] root | ||
---|---|---|---|
Ligne 65: | Ligne 65: | ||
Aller plus loin : man tcpdump | Aller plus loin : man tcpdump | ||
Logiciel équivalent proposant une interface graphique : WireShark (anciennement appelé Ethereal) | Logiciel équivalent proposant une interface graphique : WireShark (anciennement appelé Ethereal) | ||
+ | |||
+ | |||
+ | ====== Filtrage suivant les flags TCP ====== | ||
+ | |||
+ | Il est possible aussi de filtrer en fonction des flags contenus dans l’entête TCP. Ces flags sont: | ||
+ | < | ||
+ | * SYN-ACK ‘tcp[13] = 18′ | ||
+ | * FIN ‘tcp[13] & 1 != 0′ | ||
+ | * SYN ‘tcp[13] & 2 != 0′ | ||
+ | * RST ‘tcp[13] & 4 != 0′ | ||
+ | * PSH ‘tcp[13] & 8 != 0′ | ||
+ | * ACK ‘tcp[13] & 16 != 0′ | ||
+ | * URG ‘tcp[13] & 32 != 0′ | ||
+ | </ | ||
+ | |||
+ | Ceci signifie qu’on prend le 13ième octet dans l’entête TCP (tcp[13]). Chaque bit de cet octet représente un flag. On effectue ensuite une opération logique pour obtenir la valeur de ce bit et on le test par rapport à 0. | ||
+ | |||
+ | exemple: | ||
+ | $ sudo tcpdump ' | ||
+ | |||
+ | |||
+ | ====== Exploitation des paquets avec Wireshark ====== | ||
+ | |||
+ | Il est possible d’enregistrer les paquets capturés dans un fichier et ainsi de les analyser plus tard, sur une autre machine éventuellement, | ||
+ | |||
+ | L’enregistrement des paquets se fait en utilisant l’option -w qui dit à tcpdump d’enregister les paquets bruts dans un fichier. Par exemple: | ||
+ | |||
+ | $ sudo tcpdump -Xvvnns0 port 80 -w dump.cap | ||
+ | |||
+ | Ensuite il ne reste plus qu’à analyser le fichier dump.cap dans Wireshark en le lançant avec le nom de fichier en argument: | ||
+ | |||
+ | $ wireshark -r dump.cap | ||
+ | |||
+ | ====== Décoder les paquets CDP ou LLDP packets ====== | ||
+ | Cela permet entre autre de voir sur quel numéro de port de quel switch est branché notre serveur : | ||
+ | |||
+ | $ tcpdump -i eth0 -v -s 1500 -c 1 ' | ||
systeme/tcpdump.txt · Dernière modification : 2015/08/16 08:55 de root