====== Récapitulatif tcpdump ====== Scanner le trafic réseau globale. tcpdump -n -n = ne pas resoudre les noms (surtout si acces DNS coupé) -> vision du reseau cache 192.168.0.1 Scan et sauvegarde du scan dans un fichier. tcpdump -n -w /root/infos.dump -w = ecrire dans le fichier Ctrl+C pour arrêter la capture. Lire le fichier scanné (c'est là qu'il faut mettre l'option -n parce que c'est à ce moment qu'il va essayer de résoudre les noms). tcpdump -n -r /root/infos.dump -r = lire le fichier ATTENTION le fichier est un binaire, il n'est donc pas lisible avec vi ou cat. Recherche dans le fichier des requêtes ARP "who-has" tcpdump -n -r /root/infos.dump arp[6:2]==1 Ensuite on fait des filtres dessus. ether[X]==1 arp[X]==1 [6:2] Ca veut dire on se positionne sur le 6ème octet et on lit les 2 octets qui suivent dans la trame ARP. Si cette valeur est 1 c'est qu'on est en présence d'un who-has. Il faut trouver la liste des IP qui font du who-has. tcpdump -n arp -w /root/arpinfo.dump tcpdump -n -r /root/arpinfo.dump | cut -d ' ' -f 6 ou avec awk tcpdump -n -r /root/arpinfo.dump | awk '{print$6}' On récupère d'abord les trames avec -w dans un fichier et ur extraire des infos. tcpdump -n arp[6:2]==1 -r /root/arpinfo.dump | cut -d ' ' -f 6 | sort | uniq On récupère d'abord les trames avec -w dans un fichier et ensuite on fait des filtres dessus pour extraire des infos. tcpdump -n arp[6:2]==1 -r /root/arpinfo.dump | cut -d ' ' -f 6 | sort | uniq Installation de l'outil de recherche ARP. apt-get install arpwatch Recherche dans le fichier de scann de l'adresse MAC correspondante à l'adresse IP spécifiée. arpwatch -d -f /root/arpinfo.dump -n 192.168.0.1 On obtient : 0:19:b9:5b:68:a8 http://www.frameip.com -> Entrer dans le champ pour connaître le constructeur. Nombre de requêtes ARP réalisées par les machines du réseau (les adresses IP du réseau). tcpdump -l -n arp | grep 'arp who-has' | head -100 | awk '{print $NF }' | sort | uniq -c | sort -n Scan sur une seule interface. tcpdump -n -i eth2 Filtrage sur le réseau. tcpdump -i eth0 -vv src net <@IP> mask Filtrage sur un hôte. tcpdump -i eth0 -vv host <@IP> Filtrage sur un hôte sans convertir les IP en noms. tcpdump -nni eth0 -vv host <@IP> Exclusion d'un port. tcpdump -i eth0 not port 22 Filtrage sur l'host et exclusion du port. tcpdump -nni eth0 -vv host <@IP> and not port 22 Filtrage sur port et host. tcpdump -ni eth0 -vv port 20 and host <@IP>