Dokuwiki

Outils pour utilisateurs

Outils du site

Piste : find
systeme:tcpdump

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
Dernière révisionLes deux révisions suivantes
systeme:tcpdump [2009/03/14 23:38] – édition externe 127.0.0.1systeme:tcpdump [2015/08/16 08:54] – [Exploitation des paquets avec Wireshark] root
Ligne 65: Ligne 65:
 Aller plus loin : man tcpdump Aller plus loin : man tcpdump
 Logiciel équivalent proposant une interface graphique : WireShark (anciennement appelé Ethereal) Logiciel équivalent proposant une interface graphique : WireShark (anciennement appelé Ethereal)
 +
 +
 +====== Filtrage suivant les flags TCP ======
 +
 +Il est possible aussi de filtrer en fonction des flags contenus dans l’entête TCP. Ces flags sont:
 +<code>
 +    * SYN-ACK ‘tcp[13] = 18′
 +    * FIN ‘tcp[13] & 1 != 0′
 +    * SYN ‘tcp[13] & 2 != 0′
 +    * RST ‘tcp[13] & 4 != 0′
 +    * PSH ‘tcp[13] & 8 != 0′
 +    * ACK ‘tcp[13] & 16 != 0′
 +    * URG ‘tcp[13] & 32 != 0′
 +</code>
 +
 +Ceci signifie qu’on prend le 13ième octet dans l’entête TCP (tcp[13]). Chaque bit de cet octet représente un flag. On effectue ensuite une opération logique pour obtenir la valeur de ce bit et on le test par rapport à 0.
 +
 +exemple:
 +  $ sudo tcpdump 'tcp[13] & 2 != 0'
 +
 +
 +====== Exploitation des paquets avec Wireshark ======
 +
 +Il est possible d’enregistrer les paquets capturés dans un fichier et ainsi de les analyser plus tard, sur une autre machine éventuellement, avec Wireshark et de bénéficier des avantages d’une représentation graphique des paquets. On utilisera cette méthode, par exemple, lorsque l’on doit analyser les paquets arrivant sur un serveur ne disposant pas d’interface graphique permettant de faire tourner Wireshark.
 +
 +L’enregistrement des paquets se fait en utilisant l’option -w qui dit à tcpdump d’enregister les paquets bruts dans un fichier. Par exemple:
 +
 +  $ sudo tcpdump -Xvvnns0 port 80 -w dump.cap
 +
 +Ensuite il ne reste plus qu’à analyser le fichier dump.cap dans Wireshark en le lançant avec le nom de fichier en argument:
 +
 +  $ wireshark -r dump.cap
 +
 +====== Décoder les paquets CDP ou LLDP packets ======
 +Cela permet entre autre de voir sur quel numéro de port de quel switch est branché notre serveur :
 +
 +  $ tcpdump -i eth0 -v -s 1500 -c 1 '(ether[12:2]=0x88cc or ether [20:2]=0x2000)'
  
systeme/tcpdump.txt · Dernière modification : 2015/08/16 08:55 de root