TcpFlow permet de faire des captures comme tcpdump.
Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port)
apt-get install tcpflow
ip l
mkdir -p /tmp/capture
(ici, l'interface est eth0
)
tcpflow -o /tmp/capture -i eth0
nohup tcpflow -o /tmp/capture -i eth0 &
pkill tcpflow
tcpdump -i eth0 -w /tmp/tcpdump.pcap
pkill tcpdump
tcpflow -o /tmp/capture -r /tmp/tcpdump.pcap
# show flow tcpdump -r /tmp/tcpdump.pcap # show raw data tcpdump -qns 0 -A -r /tmp/tcpdump.pcap # show hexa data tpdump -qns 0 -X -r /tmp/tcpdump.pcap # show hexa data (filter exclude ssh) tcpdump -qns 0 -X -r /tmp/tcpdump.pcap 'port not 22'
Analyser les captures :
format index: byte-index|timestamp|length