Logo Khaganat

Wikhan

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
fr:tcpflow [2018/06/15 20:45] – [Utilisation avec tcpdump] aleajactaestfr:tcpflow [2021/12/03 18:19] (Version actuelle) – modification externe 127.0.0.1
Ligne 2: Ligne 2:
  
  
-{{tag>Tag_a_ajouter}}+{{tag>sysadmin tutoriel}}
  
 ===== Fonction ===== ===== Fonction =====
  
-TcpFlow permet de faire des capture comme tcpdump.+TcpFlow permet de faire des captures comme tcpdump.
  
-Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port+Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port)
  
 ===== Installation ===== ===== Installation =====
-apt-get install tcpflow+  apt-get install tcpflow
  
 ===== Utilisation ===== ===== Utilisation =====
  
-* Récupérer l'interface utilisé pour communiquer+  * Récupérer l'interface utilisée pour communiquer 
 <code> <code>
-ip a+ip l
 </code> </code>
  
-* préparer le répertoire réceptionnant les capture+  * préparer le répertoire réceptionnant les captures : 
 <code> <code>
-mkdir -p /home/gameserver/capture+mkdir -p /tmp/capture
 </code> </code>
  
-* Lancer tcpflow +  * Lancer tcpflow 
-(ici, l'interface et eth0)+ 
 +(ici, l'interface est ''eth0'')
  
 <code> <code>
-tcpflow -o /home/gameserver/capture -i eth0+tcpflow -o /tmp/capture -i eth0
 </code> </code>
  
-* Lancer en tache de fond tcpflow+  * Lancer en tâche de fond tcpflow :
  
 <code> <code>
-nohup tcpflow -o /home/gameserver/capture -i eth0 &+nohup tcpflow -o /tmp/capture -i eth0 &
 </code> </code>
  
-Arreter les captures+  Arrêter les captures 
 <code> <code>
 pkill tcpflow pkill tcpflow
 </code> </code>
  
-* Analyser les captures 
-# fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, heure de capture, ...) 
- 
-# fichier contenant les données - créé on le format suivant: 
-<ip source>.<port source>-<ip destination>.<port destination> 
- 
-# fichier contenant les données - créé on le format suivant: 
-<ip source>.<port source>-<ip destination>.<port destination>.findx 
- 
-format : byte-index|timestamp|length 
  
 ===== Utilisation avec tcpdump ===== ===== Utilisation avec tcpdump =====
  
-* Lancer la capture tcpdump+  * Lancer la capture tcpdump :
  
 <code> <code>
-tcpdump -i eth0 -w capture.pcap+tcpdump -i eth0 -w /tmp/tcpdump.pcap
 </code> </code>
  
-Arreter la capture tcpdump+  Arrêter la capture tcpdump :
  
 <code> <code>
-pkill tcpdump>+pkill tcpdump
 </code> </code>
  
-* Lire le fichier pcap (generer par tcpdump)+  * Lire le fichier pcap (généré par tcpdump)
 <code> <code>
-tcpflow -o /home/gameserver/capture -r capture.pcap +tcpflow -o /tmp/capture -r /tmp/tcpdump.pcap
 </code> </code>
 +
 +===== Analyse =====
 +
 +==== Fichier pcap (tcpdump) ====
 +
 +<code>
 +# show flow
 +tcpdump -r /tmp/tcpdump.pcap
 +
 +# show raw data
 +tcpdump -qns 0 -A -r /tmp/tcpdump.pcap
 +
 +# show hexa data
 +tpdump -qns 0 -X -r /tmp/tcpdump.pcap
 +
 +# show hexa data (filter exclude ssh)
 +tcpdump -qns 0 -X -r /tmp/tcpdump.pcap 'port not 22'
 +</code>
 +
 +
 +==== Fichier tcpflow ====
 +Analyser les captures :
 +
 +  - fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, l'heure de capture...)
 +  - fichier contenant les données : <ip source>.<port source>-<ip destination>.<port destination>
 +  - fichier contenant les index : <ip source>.<port source>-<ip destination>.<port destination>.findx
 +
 +format index: byte-index|timestamp|length
 +
  
 ===== Doc ===== ===== Doc =====
 https://github.com/simsong/tcpflow https://github.com/simsong/tcpflow
CC Attribution-Share Alike 4.0 International Driven by DokuWiki
fr/tcpflow.1529095535.txt.gz · Dernière modification : (modification externe)
Licences Mentions légales Accueil du site Contact Inclusion