evolix/wiki
22
0
Fork 0
Code Releases Activity

rajout des petits carrés :3

Browse source
This commit is contained in:
Daniel Jakots 2017-11-20 17:48:25 -05:00
parent 13680c6fce
commit 91179ad64f
1 changed files with 13 additions and 13 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

26
HowtoTcpdump.md
View file

@ -28,68 +28,68 @@ et la partie qui écoute le réseau).
## Utilisation de base ## Utilisation de base
Écouter tout le trafic d'une interface : * Écouter tout le trafic d'une interface :
~~~ ~~~
# tcpdump -i <int> # tcpdump -i <int>
~~~ ~~~
Écouter ping sur l'interface : * Écouter ping sur l'interface :
~~~ ~~~
# tcpdump -i <int> icmp and icmp[icmptype]=icmp-echo # tcpdump -i <int> icmp and icmp[icmptype]=icmp-echo
~~~ ~~~
Écouter le trafic d'une interface pour un port particulier : * Écouter le trafic d'une interface pour un port particulier :
~~~ ~~~
# tcpdump -i <int> port XXXX # tcpdump -i <int> port XXXX
~~~ ~~~
Écouter le trafic d'une interface pour un intervalle de ports particuliers : * Écouter le trafic d'une interface pour un intervalle de ports particuliers :
~~~ ~~~
# tcpdump -i <int> portrange XXXX-XXXX # tcpdump -i <int> portrange XXXX-XXXX
~~~ ~~~
Écouter le trafic d'une interface pour un hôte particulier : * Écouter le trafic d'une interface pour un hôte particulier :
~~~ ~~~
# tcpdump -i <int> host 192.0.2.1 # tcpdump -i <int> host 192.0.2.1
~~~ ~~~
Écouter le trafic d'une interface pour un réseau particulier : * Écouter le trafic d'une interface pour un réseau particulier :
~~~ ~~~
# tcpdump -i <int> net 192.0.2.0/24 # tcpdump -i <int> net 192.0.2.0/24
~~~ ~~~
Écouter le trafic d'une interface pour un hôte et un port particulier : * Écouter le trafic d'une interface pour un hôte et un port particulier :
~~~ ~~~
# tcpdump -i <int> host 192.0.2.1 and port XXXX # tcpdump -i <int> host 192.0.2.1 and port XXXX
~~~ ~~~
Écouter le trafic UDP d'une interface pour un port particulier : * Écouter le trafic UDP d'une interface pour un port particulier :
~~~ ~~~
# tcpdump -i <int> udp port XXXX # tcpdump -i <int> udp port XXXX
~~~ ~~~
Afficher le protocole CARP avec des détails * Afficher le protocole CARP avec des détails
~~~ ~~~
# tcpdump -ni em1 -vvv proto carp # tcpdump -ni em1 -vvv proto carp
~~~ ~~~
Écouter le trafic sauf ssh (utile sur un serveur où l'on s'y connecte * Écouter le trafic sauf ssh (utile sur un serveur où l'on s'y connecte
en ssh) en ssh)
~~~ ~~~
# tcpdump -ni <int> not port 22 # tcpdump -ni <int> not port 22
~~~ ~~~
Pouvoir grep la sortie de tcpdump * Pouvoir grep la sortie de tcpdump
~~~ ~~~
# tcpdump -envps 1500 -i enc0 -l | grep 192.0.2.123 # tcpdump -envps 1500 -i enc0 -l | grep 192.0.2.123
@ -97,13 +97,13 @@ Pouvoir grep la sortie de tcpdump
## Utilisation avancée ## Utilisation avancée
Écouter le trafic HTTP sur une interface et afficher les headers : * Écouter le trafic HTTP sur une interface et afficher les headers :
~~~ ~~~
# tcpdump -A tcp port 80 or port 443 | egrep --line-buffered '^........(GET |HTTP\/|POST |HEAD )|^[A-Za-z0-9-]+: ' | sed -r 's/^........(GET |HTTP\/|POST |HEAD )/\n\n\1/g' # tcpdump -A tcp port 80 or port 443 | egrep --line-buffered '^........(GET |HTTP\/|POST |HEAD )|^[A-Za-z0-9-]+: ' | sed -r 's/^........(GET |HTTP\/|POST |HEAD )/\n\n\1/g'
~~~ ~~~
Analyser les logs PF (l'attribut « log » doit être présent sur les * Analyser les logs PF (l'attribut « log » doit être présent sur les
règles) règles)
a posteriori a posteriori