reseaux:wireshark

Ceci est une ancienne révision du document !

Analyses de trames

Introduction

L'analyse de trames est importante dans de nombreux cas tels que par exemple le fait d'observer un échange client/serveur, ou bien la constitution d'un paquet. L’interprétation des trames peut aider à corriger des problèmes réseaux ou applicatifs, mais aussi permettre la détection d'un trafic suspect.

Tshark

Commandes utiles :

  • filter IP information
  • tshark -q -z conv,ip -nr attack-trace.pcap
  • filter tcp session
  • tshark -q -z conv,tcp -nr attack-trace.pcap
  • filter open tcp session
  • tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0'
  • filter time_relative and tcp.stream number of new session
  • tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0' -T fields -e frame.time_relative -e tcp.stream
  • filter show tcp stream 1
  • tshark -r attack-trace.pcap -2 -R 'tcp.stream==1'
  • filter folow tcp stream 1
  • tshark -r attack-trace.pcap -q -z follow,tcp,ascii,1
  • filter show tcp stream 1 and smb packet
  • tshark -r attack-trace.pcap -2 -R 'tcp.stream==1 && smb'
  • extract url 
  • tshark -r suspicious-time.pcap -2 -R 'http.host' -T fields -e 'http.request.uri'
Vous pourriez laisser un commentaire si vous étiez connecté.
  • reseaux/wireshark.1454082150.txt.gz
  • Dernière modification: 2019/02/06 14:02
  • (modification externe)