Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseaux:wireshark [2016/04/04 11:37]
william [tcpdump]
+++ reseaux:wireshark [2019/02/06 14:03]
@@ Ligne 1: / Ligne 1: @@
-====== Analyses de trames ======
-===== Introduction =====
-L'analyse de trames est importante dans de nombreux cas tels que par exemple le fait d'observer un échange client/serveur, ou bien la constitution d'un paquet.
-L’interprétation des trames peut aider à corriger des problèmes réseaux ou applicatifs, mais aussi permettre la détection d'un trafic suspect.
-===== tcpdump =====
-  * Capture les paquets provenant et à destination de 172.16.0.1 sur les ports de destination 80 et 443 :
-  * <code>tcpdump -s0 -w webtrafic.pcap host 172.16.0.1 and "(dst port 80 or dst port 443)"</code>
-  * Capture les paquets sur l'interface eth1 et sans le port ssh :
-  * <code>tcpdump -i eth1 port not 22</code>
-===== Tshark =====
-Commandes utiles :
-  * filter IP information
-  * <code bash>tshark -q -z conv,ip -nr attack-trace.pcap</code>
-  * filter tcp session
-  * <code bash>tshark -q -z conv,tcp -nr attack-trace.pcap</code>
-  * filter open tcp session
-  * <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0'</code>
-  * filter time_relative and tcp.stream number of new session
-  * <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0' -T fields -e frame.time_relative -e tcp.stream</code>
-  * filter show tcp stream 1
-  * <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.stream==1'</code>
-  * filter folow tcp stream 1
-  * <code bash>tshark -r attack-trace.pcap -q -z follow,tcp,ascii,1</code>
-  * filter show tcp stream 1 and smb packet
-  * <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.stream==1 && smb'</code>
-  * extract url
-  * <code bash>tshark -r suspicious-time.pcap -2 -R 'http.host' -T fields -e 'http.request.uri'</code>