Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
|
reseaux:wireshark [2016/04/04 11:37] william [tcpdump] |
reseaux:wireshark [2019/02/06 14:03] (Version actuelle) |
L’interprétation des trames peut aider à corriger des problèmes réseaux ou applicatifs, mais aussi permettre la détection d'un trafic suspect. | L’interprétation des trames peut aider à corriger des problèmes réseaux ou applicatifs, mais aussi permettre la détection d'un trafic suspect. |
| |
===== tcpdump ===== | |
| |
* Capture les paquets provenant et à destination de 172.16.0.1 sur les ports de destination 80 et 443 : | ===== Wireshark / Tshark ===== |
* <code>tcpdump -s0 -w webtrafic.pcap host 172.16.0.1 and "(dst port 80 or dst port 443)"</code> | |
| |
* Capture les paquets sur l'interface eth1 et sans le port ssh : | Liste de filtres utiles : |
* <code>tcpdump -i eth1 port not 22</code> | |
===== Tshark ===== | |
| |
Commandes utiles : | |
| |
| * filter IP information <code bash>tshark -q -z conv,ip -nr attack-trace.pcap</code> |
| |
* filter IP information | * filter tcp session<code bash>tshark -q -z conv,tcp -nr attack-trace.pcap</code> |
* <code bash>tshark -q -z conv,ip -nr attack-trace.pcap</code> | |
| |
* filter tcp session | * filter open tcp session<code bash>tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0'</code> |
* <code bash>tshark -q -z conv,tcp -nr attack-trace.pcap</code> | |
| |
* filter open tcp session | * filter time_relative and tcp.stream number of new session<code bash>tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0' -T fields -e frame.time_relative -e tcp.stream</code> |
* <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0'</code> | |
| |
* filter time_relative and tcp.stream number of new session | * filter show tcp stream 1<code bash>tshark -r attack-trace.pcap -2 -R 'tcp.stream==1'</code> |
* <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0' -T fields -e frame.time_relative -e tcp.stream</code> | |
| |
* filter show tcp stream 1 | * filter folow tcp stream 1 <code bash>tshark -r attack-trace.pcap -q -z follow,tcp,ascii,1</code> |
* <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.stream==1'</code> | |
| |
* filter folow tcp stream 1 | * filter show tcp stream 1 and smb packet <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.stream==1 && smb'</code> |
* <code bash>tshark -r attack-trace.pcap -q -z follow,tcp,ascii,1</code> | |
| |
* filter show tcp stream 1 and smb packet | * Extraire une url <code bash>tshark -r suspicious-time.pcap -2 -R 'http.host' -T fields -e 'http.request.uri'</code> |
* <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.stream==1 && smb'</code> | |
| * Choisir les éléments de résultat<code bash>tshark -nn -e frame.number -e ip.addr -e eth.src -e ip.dst -e eth.dst -Tfields -E separator=, -R ip -i eth0 port not 22</code> |
| |
| ===== tcpdump ===== |
| |
* extract url | * Capture les paquets provenant et à destination de 172.16.0.1 sur les ports de destination 80 et 443 :<code>tcpdump -s0 -w webtrafic.pcap host 172.16.0.1 and "(dst port 80 or dst port 443)"</code> |
* <code bash>tshark -r suspicious-time.pcap -2 -R 'http.host' -T fields -e 'http.request.uri'</code> | |
| |
| * Capture les paquets sur l'interface eth1 et sans le port ssh :<code>tcpdump -i eth1 port not 22</code> |