diff --git a/HowtoTcpdump.md b/HowtoTcpdump.md index 9b5451e7..a75694af 100644 --- a/HowtoTcpdump.md +++ b/HowtoTcpdump.md @@ -28,68 +28,68 @@ et la partie qui écoute le réseau). ## Utilisation de base -Écouter tout le trafic d'une interface : +* Écouter tout le trafic d'une interface : ~~~ # tcpdump -i ~~~ -Écouter ping sur l'interface : +* Écouter ping sur l'interface : ~~~ # tcpdump -i icmp and icmp[icmptype]=icmp-echo ~~~ -Écouter le trafic d'une interface pour un port particulier : +* Écouter le trafic d'une interface pour un port particulier : ~~~ # tcpdump -i port XXXX ~~~ -Écouter le trafic d'une interface pour un intervalle de ports particuliers : +* Écouter le trafic d'une interface pour un intervalle de ports particuliers : ~~~ # tcpdump -i portrange XXXX-XXXX ~~~ -Écouter le trafic d'une interface pour un hôte particulier : +* Écouter le trafic d'une interface pour un hôte particulier : ~~~ # tcpdump -i host 192.0.2.1 ~~~ -Écouter le trafic d'une interface pour un réseau particulier : +* Écouter le trafic d'une interface pour un réseau particulier : ~~~ # tcpdump -i net 192.0.2.0/24 ~~~ -Écouter le trafic d'une interface pour un hôte et un port particulier : +* Écouter le trafic d'une interface pour un hôte et un port particulier : ~~~ # tcpdump -i host 192.0.2.1 and port XXXX ~~~ -Écouter le trafic UDP d'une interface pour un port particulier : +* Écouter le trafic UDP d'une interface pour un port particulier : ~~~ # tcpdump -i udp port XXXX ~~~ -Afficher le protocole CARP avec des détails +* Afficher le protocole CARP avec des détails ~~~ # tcpdump -ni em1 -vvv proto carp ~~~ -Écouter le trafic sauf ssh (utile sur un serveur où l'on s'y connecte +* Écouter le trafic sauf ssh (utile sur un serveur où l'on s'y connecte en ssh) ~~~ # tcpdump -ni not port 22 ~~~ -Pouvoir grep la sortie de tcpdump +* Pouvoir grep la sortie de tcpdump ~~~ # tcpdump -envps 1500 -i enc0 -l | grep 192.0.2.123 @@ -97,13 +97,13 @@ Pouvoir grep la sortie de tcpdump ## Utilisation avancée -Écouter le trafic HTTP sur une interface et afficher les headers : +* Écouter le trafic HTTP sur une interface et afficher les headers : ~~~ # tcpdump -A tcp port 80 or port 443 | egrep --line-buffered '^........(GET |HTTP\/|POST |HEAD )|^[A-Za-z0-9-]+: ' | sed -r 's/^........(GET |HTTP\/|POST |HEAD )/\n\n\1/g' ~~~ -Analyser les logs PF (l'attribut « log » doit être présent sur les +* Analyser les logs PF (l'attribut « log » doit être présent sur les règles) a posteriori