HAMIDA.info Papa, geek, mais pas que…
On a toujours besoin pour identifier la cause d’un incident de faire un peu de capture réseau.
Cela est possible grâce à des outils Unix/Linux, notamment tcpdump et wireshark.
1ère étape : Capture du traffic
tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -r file ] [ -s snaplen ] [ -T type ] [ -U user ] [ -w file ] [ -E algo:secret ] [ expression ]
tcpdump -i eth0 -Xvvnns0 -w /tmp/20120501.cap
L’option -i doit indiquer l’interface réseau que vous souhaitez analyser (ici eth0).
L’option -w est utilisée pour stocker le résultat dans un fichier (/tmp/20120501.cap).
L’option -vv pour être en mode « more verbose ».
L’option -X indique si le paquet doit être affiché en hexa ou en ascii, ou les deux.
2ème étape : Analyse des packets
Lancer l’application wireshark, disponible sous Windows, Linux, Android etc…
Cliquez sur File -> Open -> sélectionnez le fichier que vous venez de générer via tcpdump.
Vous pouvez maintenant appliquer vos filtres. Petites astuces, pour suivre toute une communication TCP, faites un clic droit -> Follow TCP stream au niveau de la ligne qui vous intéresse.
