kilsufi de noter

User Tools

Site Tools

Trace: tcpdump
tcpdump

Récapitulatif tcpdump

Scanner le trafic réseau globale. 

tcpdump -n
-n = ne pas resoudre les noms (surtout si acces DNS coupé)

→ vision du reseau cache 192.168.0.1

Scan et sauvegarde du scan dans un fichier. 

tcpdump -n -w /root/infos.dump
-w = ecrire dans le fichier
Ctrl+C pour arrêter la capture.

Lire le fichier scanné (c'est là qu'il faut mettre l'option -n parce que c'est à ce moment qu'il va essayer de résoudre les noms). 

tcpdump -n -r /root/infos.dump
-r = lire le fichier

ATTENTION le fichier est un binaire, il n'est donc pas lisible avec vi ou cat.

Recherche dans le fichier des requêtes ARP “who-has” 

tcpdump -n -r /root/infos.dump arp[6:2]==1

Ensuite on fait des filtres dessus. ether[X]==1 arp[X]==1

[6:2] Ca veut dire on se positionne sur le 6ème octet et on lit les 2 octets qui suivent dans la trame ARP. Si cette valeur est 1 c'est qu'on est en présence d'un who-has.

Il faut trouver la liste des IP qui font du who-has. 

tcpdump -n arp -w /root/arpinfo.dump
tcpdump -n -r /root/arpinfo.dump | cut -d ' ' -f 6

ou avec awk 

tcpdump -n -r /root/arpinfo.dump | awk '{print$6}'

On récupère d'abord les trames avec -w dans un fichier et ur extraire des infos. 

tcpdump -n arp[6:2]==1 -r /root/arpinfo.dump | cut -d ' ' -f 6 | sort | uniq

On récupère d'abord les trames avec -w dans un fichier et ensuite on fait des filtres dessus pour extraire des infos. 

tcpdump -n arp[6:2]==1 -r /root/arpinfo.dump | cut -d ' ' -f 6 | sort | uniq

Installation de l'outil de recherche ARP. 

apt-get install arpwatch

Recherche dans le fichier de scann de l'adresse MAC correspondante à l'adresse IP spécifiée. 

arpwatch -d -f /root/arpinfo.dump -n 192.168.0.1

On obtient : 0:19:b9:5b:68:a8

http://www.frameip.com → Entrer dans le champ pour connaître le constructeur.

Nombre de requêtes ARP réalisées par les machines du réseau (les adresses IP du réseau). 

tcpdump -l -n arp | grep 'arp who-has' | head -100 | awk '{print $NF }' | sort | uniq -c | sort -n

Scan sur une seule interface. 

tcpdump -n -i eth2

Filtrage sur le réseau. 

tcpdump -i eth0 -vv src net <@IP> mask <mask>

Filtrage sur un hôte. 

tcpdump -i eth0 -vv host <@IP>

Filtrage sur un hôte sans convertir les IP en noms. 

tcpdump -nni eth0 -vv host <@IP>

Exclusion d'un port. 

tcpdump -i eth0 not port 22

Filtrage sur l'host et exclusion du port. 

tcpdump -nni eth0 -vv host <@IP> and not port 22

Filtrage sur port et host. 

tcpdump -ni eth0 -vv port 20 and host <@IP>
tcpdump.txt · Last modified: 2021/01/21 21:42 (external edit)

Page Tools

Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki