Le blog de Fatiha

Une geek de plus !

Capture avec tcpdump et analyse avec wireshark

 

Aujourd’hui, j’ai dû faire une dizaine de captures tcpdump ! Alors la technique, je la maîtrise à présent.

1ère étape : Ligne de commande à lancer sous Linux (Redhat)

tcpdump -i eth0 -Xvvnns0 -w /tmp/dump.cap

L’option -i doit indiquer l’interface réseau que vous souhaitez analyser.

L’option -w est utilisée pour sstocker le résultat dans un fichier.

L’option -vv pour être en mode « more verbose ».

L’option -X indique si le paquet doit être affiché en hexa ou en ascii, ou les deux.

2ème étape : analyse du fichier dans wireshark

Cliquez sur File -> Open -> sélectionnez le fichier que vous venez de générer via tcpdump. A vous d’analyser les informations recueillies.

Pour ma part, je m’intéresse à tout ce qui est TCP. Pour suivre toute une communication TCP, j’ai l’habitude de faire un clic droit -> Follow TCP stream au niveau de la ligne qui m’intéresse. J’obtiens ainsi une fenêtre qui s’ouvre avec tout le détail de la communication, par exemple, avec cette option je peux analyser des en-têtes HTTP et les valeur de variables comme :

X-Forwarded-For, Cookie, POST, Host, Client-DNS, X-Forwarded-Host, X-Forwarded-Server, Client-IP, …

Sources :

Autour de Linux

Options de tcpdump sur linux.about.com