====== Analyses de trames ======
===== Introduction =====
L'analyse de trames est importante dans de nombreux cas tels que par exemple le fait d'observer un échange client/serveur, ou bien la constitution d'un paquet.
L’interprétation des trames peut aider à corriger des problèmes réseaux ou applicatifs, mais aussi permettre la détection d'un trafic suspect.
===== Wireshark / Tshark =====
Liste de filtres utiles :
* filter IP information tshark -q -z conv,ip -nr attack-trace.pcap
* filter tcp sessiontshark -q -z conv,tcp -nr attack-trace.pcap
* filter open tcp sessiontshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0'
* filter time_relative and tcp.stream number of new sessiontshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0' -T fields -e frame.time_relative -e tcp.stream
* filter show tcp stream 1tshark -r attack-trace.pcap -2 -R 'tcp.stream==1'
* filter folow tcp stream 1 tshark -r attack-trace.pcap -q -z follow,tcp,ascii,1
* filter show tcp stream 1 and smb packet tshark -r attack-trace.pcap -2 -R 'tcp.stream==1 && smb'
* Extraire une url tshark -r suspicious-time.pcap -2 -R 'http.host' -T fields -e 'http.request.uri'
* Choisir les éléments de résultattshark -nn -e frame.number -e ip.addr -e eth.src -e ip.dst -e eth.dst -Tfields -E separator=, -R ip -i eth0 port not 22
===== tcpdump =====
* Capture les paquets provenant et à destination de 172.16.0.1 sur les ports de destination 80 et 443 :tcpdump -s0 -w webtrafic.pcap host 172.16.0.1 and "(dst port 80 or dst port 443)"
* Capture les paquets sur l'interface eth1 et sans le port ssh :tcpdump -i eth1 port not 22