{"id":521,"date":"2009-06-03T18:22:42","date_gmt":"2009-06-03T16:22:42","guid":{"rendered":"http:\/\/linux.leunen.com\/?p=521"},"modified":"2009-06-03T18:22:42","modified_gmt":"2009-06-03T16:22:42","slug":"analyse-reseau-avec-tcpdump","status":"publish","type":"post","link":"https:\/\/www.leunen.com\/linux\/2009\/06\/analyse-reseau-avec-tcpdump\/","title":{"rendered":"Analyse r\u00e9seau avec tcpdump"},"content":{"rendered":"

tcpdump<\/em> est un outil d’analyse des paquets transitant sur le r\u00e9seau. Ses possibilit\u00e9s sont tr\u00e8s \u00e9tendues et en font un outil de base pour l’analyse permettant de r\u00e9soudre les probl\u00e8mes r\u00e9seau et de s\u00e9curit\u00e9. Il peut aussi \u00eatre utile simplement parce que vous \u00eates int\u00e9ress\u00e9 d’examiner ce qui transite sur votre r\u00e9seau. On verra aussi qu’il est possible de sauvegarder les paquets filtr\u00e9s par tcpdump<\/em> pour les relire sur une machine \u00e9quip\u00e9e de Wireshark<\/em>. L’avantage est \u00e9videmment de pouvoir profiter de la lisibilit\u00e9 que donne une application graphique.<\/p>\n

On peut passer \u00e0 tcpdump<\/em> un certain nombre d’options et des expressions bool\u00e9ennes. Les options agissent sur la fa\u00e7on dont seront repr\u00e9sent\u00e9s les paquets une fois que ceux-ci auront \u00e9t\u00e9 captur\u00e9s. Les expressions permettent de ne capturer que les paquets qui nous int\u00e9ressent. Ces expressions peuvent \u00eatre combin\u00e9es au moyen d’op\u00e9rateur bool\u00e9ens (and<\/em>, or<\/em>,…) pour former un filtre qui ne laissera passer que les paquets d\u00e9sir\u00e9s.<\/p>\n

Avant de pouvoir utiliser tcpdump<\/em>, il faut l’installer:<\/p>\n

\r\n$ sudo aptitude install tcpdump\r\n<\/pre>\n
et il faut le lancer avec des droits d’administrations pour pouvoir avoir acc\u00e8s aux interfaces r\u00e9seau.<\/p>\n
Les options<\/h3>\n
    \n
  • -i ethx sp\u00e9cifie sur quelle interface se fait la capture<\/li>\n
  • -X affiche le contenu du paquet en hexa et ascii<\/li>\n
  • -n pas de r\u00e9solution des noms, on affiche l’adresse IP<\/li>\n
  • -nn pas de r\u00e9solution des noms ni des ports<\/li>\n
  • -s0 indique qu’on capture le paquet entier<\/li>\n
  • -cx on capture seulement x paquets<\/li>\n
  • -v, -vv, -vvv augmente le nombre d’infos sur les paquets qui sont affich\u00e9s<\/li>\n
  • -w file \u00e9crit les paquets raw dans un fichier plut\u00f4t que d’\u00eatre trait\u00e9s et affich\u00e9s<\/li>\n<\/ul>\n
    exemple:<\/p>\n
    \r\n$ sudo tcpdump -Xvvn\r\n<\/pre>\n
    rafra\u00eechissez la page dans votre navigateur et observez.<\/p>\n
    Les expressions<\/h3>\n
    Les expressions associ\u00e9es aux op\u00e9rations bool\u00e9ennes permettent d’effectuer un puissant filtrage sur les paquets et en fin de compte de n’afficher que ce qui vous int\u00e9resse.<\/p>\n
      \n
    • host permet de sp\u00e9cifier une adresse IP ou un nom d’h\u00f4te:\n
      ex: tcpdump host 192.168.8.1<\/pre>\n<\/li>\n
    • src, dst sp\u00e9cifie une adresse IP source ou destination\n
      ex: tcpdump dst 192.168.8.1<\/pre>\n<\/li>\n
    • net sp\u00e9cifie un r\u00e9seau (notation CIDR)\n
      ex: tcpdump net 192.168.8.0\/24<\/pre>\n<\/li>\n
    • port sp\u00e9cifie un port sur lequel la capture se fera (peut \u00eatre combin\u00e9 avec src ou dst)\n
      ex: tcpdump port 80
      \r\n    tcpdump src port 80<\/pre>\n<\/li>\n
    • proto sp\u00e9cifie le protocole utilis\u00e9 (tcp, udp, and icmp)\n
      ex: tcpdump icmp<\/pre>\n<\/li>\n<\/ul>\n
      Les op\u00e9rateurs logiques<\/h3>\n
        \n
      • and (ou &&)<\/li>\n
      • or (ou ||)<\/li>\n
      • not (ou !)<\/li>\n<\/ul>\n
        Pour les op\u00e9rations complexes avec des parenth\u00e8ses, les options doivent \u00eatre encadr\u00e9es par des apostrophes.<\/p>\n
        exemples:<\/p>\n
        \r\n$ sudo tcpdump -Xvvnn src 192.168.8.10 and dst 192.168.8.1\r\n$ sudo tcpdump 'src 192.168.8.10 and (dst port 110 or 25)'\r\n<\/pre>\n
        Filtrage suivant les flags TCP<\/h3>\n
        Il est possible aussi de filtrer en fonction des flags contenus dans l’ent\u00eate TCP. Ces flags sont:<\/p>\n
          \n
        • SYN-ACK  ‘tcp[13] = 18’<\/li>\n
        • FIN      ‘tcp[13] & 1 != 0’<\/li>\n
        • SYN      ‘tcp[13] & 2 != 0’<\/li>\n
        • RST      ‘tcp[13] & 4 != 0’<\/li>\n
        • PSH      ‘tcp[13] & 8 != 0’<\/li>\n
        • ACK      ‘tcp[13] & 16 != 0’<\/li>\n
        • URG      ‘tcp[13] & 32 != 0’<\/li>\n<\/ul>\n
          Ceci signifie qu’on prend le 13i\u00e8me octet dans l’ent\u00eate TCP (tcp[13]). Chaque bit de cet octet repr\u00e9sente un flag. On effectue ensuite une op\u00e9ration logique pour obtenir la valeur de ce bit et on le test par rapport \u00e0 0.<\/p>\n
          exemple:<\/p>\n
          \r\n$ sudo tcpdump 'tcp[13] & 2 != 0'\r\n<\/pre>\n
          Exploitation des paquets avec Wireshark<\/h3>\n
          Il est possible d’enregistrer les paquets captur\u00e9s dans un fichier et ainsi de les analyser plus tard, sur une autre machine \u00e9ventuellement, avec Wireshark<\/em> et de b\u00e9n\u00e9ficier des avantages d’une repr\u00e9sentation graphique des paquets. On utilisera cette m\u00e9thode, par exemple, lorsque l’on doit analyser les paquets arrivant sur un serveur ne disposant pas d’interface graphique permettant de faire tourner Wireshark<\/em>.<\/p>\n
          L’enregistrement des paquets se fait en utilisant l’option -w<\/em> qui dit \u00e0 tcpdump<\/em> d’enregister les paquets bruts dans un fichier. Par exemple:<\/p>\n
          \r\n$ sudo tcpdump -Xvvnns0 port 80 -w dump.cap\r\n<\/pre>\n
          Ensuite il ne reste plus qu’\u00e0 analyser le fichier dump.cap<\/em> dans Wireshark<\/em> en le lan\u00e7ant avec le nom de fichier en argument:<\/p>\n
          \r\n$ wireshark -r dump.cap\r\n<\/pre>\n
          Note: on peut \u00e9videmment aussi ouvrir le fichier en utilisant l’interface graphique de Wireshark<\/em> mais comme tout le reste se fait dans un terminal, pourquoi ne pas lancer Wireshark<\/em> directement depuis le terminal? Non?<\/p>\n","protected":false},"excerpt":{"rendered":"
          tcpdump est un outil d’analyse des paquets transitant sur le r\u00e9seau. Ses possibilit\u00e9s sont tr\u00e8s \u00e9tendues et en font un outil de base pour l’analyse permettant de r\u00e9soudre les probl\u00e8mes r\u00e9seau et de s\u00e9curit\u00e9. Il peut aussi \u00eatre utile simplement parce que vous \u00eates int\u00e9ress\u00e9 d’examiner ce qui transite sur votre r\u00e9seau. On verra aussi […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[12,5],"tags":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/posts\/521"}],"collection":[{"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/comments?post=521"}],"version-history":[{"count":6,"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/posts\/521\/revisions"}],"predecessor-version":[{"id":527,"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/posts\/521\/revisions\/527"}],"wp:attachment":[{"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/media?parent=521"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/categories?post=521"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.leunen.com\/linux\/wp-json\/wp\/v2\/tags?post=521"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}