pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » logiciels » tcpdump
Trace: ssh
informatique:logiciels:tcpdump

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
informatique:logiciels:tcpdump [2019/12/29 00:58] – [Filtrer les paquets TCP FIN] pteuinformatique:logiciels:tcpdump [2025/09/19 15:18] (current) – [Filtrer les paquets TCP SYN] et SYN+ACK pteu
Line 53: Line 53:
   * ''-C <nb>'' utilisé avec ''-w'', permet diviser la sortie de la capture dans des fichiers de <nb> Mo maximum   * ''-C <nb>'' utilisé avec ''-w'', permet diviser la sortie de la capture dans des fichiers de <nb> Mo maximum
   * ''-S'' : pour afficher les numéros de séquence absolu ; cela permet de corréler une trace tcpdump avec des logs d'autres équipements (firewalls par exemple).   * ''-S'' : pour afficher les numéros de séquence absolu ; cela permet de corréler une trace tcpdump avec des logs d'autres équipements (firewalls par exemple).
 +  * ''-Q|-P <direction>'' : capturer les paquets dans une direction, possible entre "in", "out" ou "inout"
  
  
Line 258: Line 259:
 | ce qu'on recherche |  x  |  x  |  x  |  0  |  x  |  x  |  1  |  x  | | ce qu'on recherche |  x  |  x  |  x  |  0  |  x  |  x  |  1  |  x  |
  
-On ne fait attention qu'au flags ACK et SYN : on veut que le premier soit à 0 et le second à 1. Ceci se traduit par l'expression suivante (on utilise un masque binaire avec un ET logique sur l'octet 13 afin de ne sélectionner que ces 2 flags, et on vérifie la valeur de l'octet 13) :+On ne fait attention qu'au flags ACK et SYN : on veut que le premier soit à 0 et le second à 1. Ceci se traduit par l'expression suivante (on utilise un masque binaire avec un ET logique sur l'octet 13 afin de ne sélectionner que ces 2 flags, et on vérifie le résultat) :
  
 <code bash> <code bash>
Line 265: Line 266:
 </code> </code>
 Soit, en décimal : Soit, en décimal :
-<code>+<code bash>
 tcp[13] ET 18 = 2 tcp[13] ET 18 = 2
 </code> </code>
  
 Bref : Bref :
-<code>+<code bash>
 tcpdump -i eth1 -s 40 'tcp[13] & 18 == 2' tcpdump -i eth1 -s 40 'tcp[13] & 18 == 2'
 +
 +# si on veut afficher également les "SYN+ACK", on ne filtre que sur SYN=1 :
 +tcpdump -i eth1 -s 40 'tcp[13] & 2 == 2'
 </code> </code>
 (l'option -s spécifie de ne capturer que les 40 premiers octets de chaque paquet : en effet on ne s'intéresse qu'aux entêtes des paquets.) (l'option -s spécifie de ne capturer que les 40 premiers octets de chaque paquet : en effet on ne s'intéresse qu'aux entêtes des paquets.)
Line 286: Line 290:
 tcpdump -i eth1 -s 40 'tcp[13] & 1 == 1' tcpdump -i eth1 -s 40 'tcp[13] & 1 == 1'
 </code> </code>
 +
 +====Filtrer les messages ICMP====
 +
 +La balise "icmp" permet de filtrer tous les paquets ICMP, mais on peut filtrer des messages particulier, par exemple les ICMP redirect (type=5) :
 +<code bash>
 +tcpdump -nni eth0 icmp[0] == 5
 +</code>
 +Pour connaitre la liste exhaustive des différents messages ICMP, go [[https://fr.wikipedia.org/wiki/Internet_Control_Message_Protocol#Les_diff%C3%A9rents_messages_de_contr%C3%B4le|Wikipedia fr]]
informatique/logiciels/tcpdump.1577581111.txt.gz · Last modified: 2019/12/29 00:58 by pteu