====== Récapitulatif tcpdump ======

Scanner le trafic réseau globale.
<code>
tcpdump -n
-n = ne pas resoudre les noms (surtout si acces DNS coupé)
</code>
-> vision du reseau cache 192.168.0.1

Scan et sauvegarde du scan dans un fichier.
<code>
tcpdump -n -w /root/infos.dump
-w = ecrire dans le fichier
Ctrl+C pour arrêter la capture.
</code>

Lire le fichier scanné (c'est là qu'il faut mettre l'option -n parce que c'est à ce moment qu'il va essayer de résoudre les noms).
<code>
tcpdump -n -r /root/infos.dump
-r = lire le fichier
</code>

ATTENTION le fichier est un binaire, il n'est donc pas lisible avec vi ou cat.

Recherche dans le fichier des requêtes ARP "who-has"
<code>
tcpdump -n -r /root/infos.dump arp[6:2]==1
</code>

Ensuite on fait des filtres dessus.
ether[X]==1
arp[X]==1

[6:2] Ca veut dire on se positionne sur le 6ème octet et on lit les 2 octets qui suivent dans la trame ARP. Si cette valeur est 1 c'est qu'on est en présence d'un who-has.

Il faut trouver la liste des IP qui font du who-has.
<code>
tcpdump -n arp -w /root/arpinfo.dump
tcpdump -n -r /root/arpinfo.dump | cut -d ' ' -f 6
</code>
ou avec awk
<code>
tcpdump -n -r /root/arpinfo.dump | awk '{print$6}'
</code>

On récupère d'abord les trames avec -w dans un fichier et ur extraire des infos.
<code>
tcpdump -n arp[6:2]==1 -r /root/arpinfo.dump | cut -d ' ' -f 6 | sort | uniq
</code>

On récupère d'abord les trames avec -w dans un fichier et ensuite on fait des filtres dessus pour extraire des infos.
<code>
tcpdump -n arp[6:2]==1 -r /root/arpinfo.dump | cut -d ' ' -f 6 | sort | uniq
</code>

Installation de l'outil de recherche ARP.
<code>
apt-get install arpwatch
</code>

Recherche dans le fichier de scann de l'adresse MAC correspondante à l'adresse IP spécifiée.
<code>
arpwatch -d -f /root/arpinfo.dump -n 192.168.0.1
</code>

On obtient : 0:19:b9:5b:68:a8

http://www.frameip.com -> Entrer dans le champ pour connaître le constructeur.

Nombre de requêtes ARP réalisées par les machines du réseau (les adresses IP du réseau).
<code>
tcpdump -l -n arp | grep 'arp who-has' | head -100 | awk '{print $NF }' | sort | uniq -c | sort -n
</code>

Scan sur une seule interface.
<code>
tcpdump -n -i eth2
</code>

Filtrage sur le réseau.
<code>
tcpdump -i eth0 -vv src net <@IP> mask <mask>
</code>

Filtrage sur un hôte.
<code>
tcpdump -i eth0 -vv host <@IP>
</code>

Filtrage sur un hôte sans convertir les IP en noms.
<code>
tcpdump -nni eth0 -vv host <@IP>
</code>

Exclusion d'un port.
<code>
tcpdump -i eth0 not port 22
</code>

Filtrage sur l'host et exclusion du port.
<code>
tcpdump -nni eth0 -vv host <@IP> and not port 22
</code>

Filtrage sur port et host.
<code>
tcpdump -ni eth0 -vv port 20 and host <@IP>
</code>