reseaux:wireshark

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
reseaux:wireshark [2016/04/04 11:37]
william [tcpdump]
reseaux:wireshark [2019/02/06 14:03] (Version actuelle)
Ligne 7: Ligne 7:
 L’interprétation des trames peut aider à corriger des problèmes réseaux ou applicatifs, mais aussi permettre la détection d'un trafic suspect. L’interprétation des trames peut aider à corriger des problèmes réseaux ou applicatifs, mais aussi permettre la détection d'un trafic suspect.
  
-===== tcpdump ===== 
  
-  * Capture les paquets provenant et à destination de 172.16.0.1 sur les ports de destination 80 et 443 : +===== Wireshark Tshark =====
-  * <code>tcpdump -s0 -w webtrafic.pcap host 172.16.0.1 and "(dst port 80 or dst port 443)"</code>+
  
-  * Capture les paquets sur l'interface eth1 et sans le port ssh : +Liste de filtres utiles 
-  * <code>tcpdump -i eth1 port not 22</code> +
-===== Tshark =====+
  
-Commandes utiles :  
  
 +  * filter IP information <code bash>tshark -q -z conv,ip -nr attack-trace.pcap</code>
  
-  * filter IP information +  * filter tcp session<code bash>tshark -q -z conv,tcp -nr attack-trace.pcap</code>
-  * <code bash>tshark -q -z conv,ip -nr attack-trace.pcap</code>+
  
-  * filter tcp session +  * filter open tcp session<code bash>tshark -attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0'</code>
-  * <code bash>tshark -q -z conv,tcp -nr attack-trace.pcap</code>+
  
-  * filter open tcp session +  * filter time_relative and tcp.stream number of new session<code bash>tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0' -T fields -e frame.time_relative -e tcp.stream</code>
-  * <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0'</code>+
  
-  * filter time_relative and tcp.stream number of new session +  * filter show tcp stream 1<code bash>tshark -r attack-trace.pcap -2 -R 'tcp.stream==1'</code>
-  * <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.flags.syn==1 && tcp.flags.ack==0-T fields -e frame.time_relative -e tcp.stream</code>+
  
-  * filter show tcp stream 1 +  * filter folow tcp stream 1 <code bash>tshark -r attack-trace.pcap --z follow,tcp,ascii,1</code> 
-  * <code bash>tshark -r attack-trace.pcap --R 'tcp.stream==1'</code>+
  
-  * filter folow tcp stream 1 +  * filter show tcp stream 1 and smb packet <code bash>tshark -r attack-trace.pcap --R 'tcp.stream==&& smb'</code>
-  * <code bash>tshark -r attack-trace.pcap --z follow,tcp,ascii,1</code> +
  
-  * filter show tcp stream 1 and smb packet +  * Extraire une url <code bash>tshark -r suspicious-time.pcap -2 -R 'http.host' -T fields -e 'http.request.uri'</code> 
-  * <code bash>tshark -r attack-trace.pcap -2 -R 'tcp.stream==1 && smb'</code>+ 
 +  * Choisir les éléments de résultat<code bash>tshark -nn -e frame.number -e ip.addr -e eth.src -e ip.dst -e eth.dst  -Tfields -E separator=, -R ip -i eth0 port not 22</code> 
 + 
 +===== tcpdump =====
  
-  * extract url  +  * Capture les paquets provenant et à destination de 172.16.0.1 sur les ports de destination 80 et 443 :<code>tcpdump -s0 -w webtrafic.pcap host 172.16.0.1 and "(dst port 80 or dst port 443)"</code>
-  * <code bash>tshark -r suspicious-time.pcap -2 -R 'http.host' -T fields -e 'http.request.uri'</code>+
  
 +  * Capture les paquets sur l'interface eth1 et sans le port ssh :<code>tcpdump -i eth1 port not 22</code>
  • reseaux/wireshark.1459762630.txt.gz
  • Dernière modification: 2019/02/06 14:02
  • (modification externe)