User Tools

Site Tools


informatique:logiciels:tcpdump

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
Next revisionBoth sides next revision
informatique:logiciels:tcpdump [2013/10/14 20:45] – modification externe 127.0.0.1informatique:logiciels:tcpdump [2019/12/29 00:58] – [Filtrer les paquets TCP FIN] pteu
Line 204: Line 204:
 </code> </code>
  
 +Filtrer les trames Ethernet (''-e'') dont l'adresse MAC source est ''00:11:11:00:11:22'' :
 +<code bash>
 +tcpdump -e -nni eth0 ether src 00:11:11:00:11:22
 +</code>
 +NB : l'option ''-nn'' permet d'activer le format numérique pour la sortie, c'est-à-dire pas de résolution de port (service) ni d'IP (DNS).
  
 ====Filtrer les paquets fragmentés==== ====Filtrer les paquets fragmentés====
Line 269: Line 274:
 </code> </code>
 (l'option -s spécifie de ne capturer que les 40 premiers octets de chaque paquet : en effet on ne s'intéresse qu'aux entêtes des paquets.) (l'option -s spécifie de ne capturer que les 40 premiers octets de chaque paquet : en effet on ne s'intéresse qu'aux entêtes des paquets.)
 +
 +====Filtrer les paquets TCP FIN====
 +
 +On procède de la même façon que pour les TCP SYNs, mais on filtre sur le bit FIN (le bit de poids faible du 13e octet) et on ne tient pas compte du flag ACK car il est (presque ?) toujours activé de toute façon.
 +
 +^  champ ->          ^ CWR ^ ECE ^ URG ^ ACK ^ PSH ^ RST ^ SYN ^ FIN ^
 +| ce qu'on recherche |  x  |  x  |  x  |  x  |  x  |  x  |  x  |  1  |
 +
 +Ce qui nous donne :
 +<code>
 +tcpdump -i eth1 -s 40 'tcp[13] & 1 == 1'
 +</code>
informatique/logiciels/tcpdump.txt · Last modified: 2023/02/07 10:46 by pteu