Le blog de Fatiha

Une geek de plus !

Capture avec tcpdump et analyse avec wireshark

 

Aujourd’hui, j’ai dû faire une dizaine de captures tcpdump ! Alors la technique, je la maîtrise à présent.

1ère étape : Ligne de commande à lancer sous Linux (Redhat)

tcpdump -i eth0 -Xvvnns0 -w /tmp/dump.cap

L’option -i doit indiquer l’interface réseau que vous souhaitez analyser.

L’option -w est utilisée pour sstocker le résultat dans un fichier.

L’option -vv pour être en mode « more verbose ».

L’option -X indique si le paquet doit être affiché en hexa ou en ascii, ou les deux.

2ème étape : analyse du fichier dans wireshark

Cliquez sur File -> Open -> sélectionnez le fichier que vous venez de générer via tcpdump. A vous d’analyser les informations recueillies.

Pour ma part, je m’intéresse à tout ce qui est TCP. Pour suivre toute une communication TCP, j’ai l’habitude de faire un clic droit -> Follow TCP stream au niveau de la ligne qui m’intéresse. J’obtiens ainsi une fenêtre qui s’ouvre avec tout le détail de la communication, par exemple, avec cette option je peux analyser des en-têtes HTTP et les valeur de variables comme :

X-Forwarded-For, Cookie, POST, Host, Client-DNS, X-Forwarded-Host, X-Forwarded-Server, Client-IP, …

Sources :

Autour de Linux

Options de tcpdump sur linux.about.com 

Linux : activation et désactivation d’une interface réseau

 

En une ligne de commande on peut désactiver et réactiver une interface réseau sous Linux.

Tapons d’abord la commande ci-dessous  pour afficher la liste des interfaces réseau, ainsi que leur état :

ifconfig -a

Désactivons à présent l’interface réseau eth1 :

ifconfig eth1 down

Ensuite, nous la réactivons ainsi :

ifconfig eth1 up

Pour en savoir plus :

man ifconfig

Réseau TCP/IP – administration sous Linux