Ci-dessous, les différences entre deux révisions de la page.
|
Prochaine révision
|
Révision précédente
Prochaine révision
Les deux révisions suivantes
|
reseaux:wireshark [2016/01/28 18:19]
william créée |
reseaux:wireshark [2016/07/22 11:26]
william |
| ===== Introduction ===== | ===== Introduction ===== |
| |
| L'analyse de trames est importantes dans de nombreux cas tel que le fait d'observer un échange client/serveur, la constitution d'un paquet. | L'analyse de trames est importante dans de nombreux cas tels que par exemple le fait d'observer un échange client/serveur, ou bien la constitution d'un paquet. |
| L'interpretation des trames peut aidé à corriger des problèmes réseau ou applicatif mais également permet de détecter un trafic suspect. | L’interprétation des trames peut aider à corriger des problèmes réseaux ou applicatifs, mais aussi permettre la détection d'un trafic suspect. |
| |
| | ===== tcpdump ===== |
| | |
| | * Capture les paquets provenant et à destination de 172.16.0.1 sur les ports de destination 80 et 443 : |
| | * <code>tcpdump -s0 -w webtrafic.pcap host 172.16.0.1 and "(dst port 80 or dst port 443)"</code> |
| | |
| | * Capture les paquets sur l'interface eth1 et sans le port ssh : |
| | * <code>tcpdump -i eth1 port not 22</code> |
| ===== Tshark ===== | ===== Tshark ===== |
| |
| * extract url | * extract url |
| * <code bash>tshark -r suspicious-time.pcap -2 -R 'http.host' -T fields -e 'http.request.uri'</code> | * <code bash>tshark -r suspicious-time.pcap -2 -R 'http.host' -T fields -e 'http.request.uri'</code> |
| | |
| | * Choisir les éléments de résultat |
| | * <code bash>tshark -nn -e frame.number -e ip.addr -e eth.src -e ip.dst -e eth.dst -Tfields -E separator=, -R ip -i eth0 port not 22</code> |
| | |
| |