====== Récapitulatif tcpdump ======
Scanner le trafic réseau globale.
tcpdump -n
-n = ne pas resoudre les noms (surtout si acces DNS coupé)
-> vision du reseau cache 192.168.0.1
Scan et sauvegarde du scan dans un fichier.
tcpdump -n -w /root/infos.dump
-w = ecrire dans le fichier
Ctrl+C pour arrêter la capture.
Lire le fichier scanné (c'est là qu'il faut mettre l'option -n parce que c'est à ce moment qu'il va essayer de résoudre les noms).
tcpdump -n -r /root/infos.dump
-r = lire le fichier
ATTENTION le fichier est un binaire, il n'est donc pas lisible avec vi ou cat.
Recherche dans le fichier des requêtes ARP "who-has"
tcpdump -n -r /root/infos.dump arp[6:2]==1
Ensuite on fait des filtres dessus.
ether[X]==1
arp[X]==1
[6:2] Ca veut dire on se positionne sur le 6ème octet et on lit les 2 octets qui suivent dans la trame ARP. Si cette valeur est 1 c'est qu'on est en présence d'un who-has.
Il faut trouver la liste des IP qui font du who-has.
tcpdump -n arp -w /root/arpinfo.dump
tcpdump -n -r /root/arpinfo.dump | cut -d ' ' -f 6
ou avec awk
tcpdump -n -r /root/arpinfo.dump | awk '{print$6}'
On récupère d'abord les trames avec -w dans un fichier et ur extraire des infos.
tcpdump -n arp[6:2]==1 -r /root/arpinfo.dump | cut -d ' ' -f 6 | sort | uniq
On récupère d'abord les trames avec -w dans un fichier et ensuite on fait des filtres dessus pour extraire des infos.
tcpdump -n arp[6:2]==1 -r /root/arpinfo.dump | cut -d ' ' -f 6 | sort | uniq
Installation de l'outil de recherche ARP.
apt-get install arpwatch
Recherche dans le fichier de scann de l'adresse MAC correspondante à l'adresse IP spécifiée.
arpwatch -d -f /root/arpinfo.dump -n 192.168.0.1
On obtient : 0:19:b9:5b:68:a8
http://www.frameip.com -> Entrer dans le champ pour connaître le constructeur.
Nombre de requêtes ARP réalisées par les machines du réseau (les adresses IP du réseau).
tcpdump -l -n arp | grep 'arp who-has' | head -100 | awk '{print $NF }' | sort | uniq -c | sort -n
Scan sur une seule interface.
tcpdump -n -i eth2
Filtrage sur le réseau.
tcpdump -i eth0 -vv src net <@IP> mask
Filtrage sur un hôte.
tcpdump -i eth0 -vv host <@IP>
Filtrage sur un hôte sans convertir les IP en noms.
tcpdump -nni eth0 -vv host <@IP>
Exclusion d'un port.
tcpdump -i eth0 not port 22
Filtrage sur l'host et exclusion du port.
tcpdump -nni eth0 -vv host <@IP> and not port 22
Filtrage sur port et host.
tcpdump -ni eth0 -vv port 20 and host <@IP>