Aujourd’hui, j’ai dû faire une dizaine de captures tcpdump ! Alors la technique, je la maîtrise à présent.
1ère étape : Ligne de commande à lancer sous Linux (Redhat)
tcpdump -i eth0 -Xvvnns0 -w /tmp/dump.cap
L’option -i doit indiquer l’interface réseau que vous souhaitez analyser.
L’option -w est utilisée pour sstocker le résultat dans un fichier.
L’option -vv pour être en mode « more verbose ».
L’option -X indique si le paquet doit être affiché en hexa ou en ascii, ou les deux.
2ème étape : analyse du fichier dans wireshark
Cliquez sur File -> Open -> sélectionnez le fichier que vous venez de générer via tcpdump. A vous d’analyser les informations recueillies.
Pour ma part, je m’intéresse à tout ce qui est TCP. Pour suivre toute une communication TCP, j’ai l’habitude de faire un clic droit -> Follow TCP stream au niveau de la ligne qui m’intéresse. J’obtiens ainsi une fenêtre qui s’ouvre avec tout le détail de la communication, par exemple, avec cette option je peux analyser des en-têtes HTTP et les valeur de variables comme :
X-Forwarded-For, Cookie, POST, Host, Client-DNS, X-Forwarded-Host, X-Forwarded-Server, Client-IP, …
Sources :
