Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:tcpflow [2018/06/15 20:47] – [Utilisation] aleajactaest
+++ fr:tcpflow [2021/12/03 18:19] (Version actuelle) – modification externe 127.0.0.1
@@ Ligne 2: / Ligne 2: @@
-{{tag>Tag_a_ajouter}}
+{{tag>sysadmin tutoriel}}
 ===== Fonction =====
-TcpFlow permet de faire des capture comme tcpdump.
+TcpFlow permet de faire des captures comme tcpdump.
-Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port
+Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port)
 ===== Installation =====
-apt-get install tcpflow
+  apt-get install tcpflow
 ===== Utilisation =====
-  * Récupérer l'interface utilisé pour communiquer
+  * Récupérer l'interface utilisée pour communiquer :
 <code>
-ip a
+ip l
 </code>
-  * préparer le répertoire réceptionnant les capture
+  * préparer le répertoire réceptionnant les captures :
 <code>
-mkdir -p /home/gameserver/capture
+mkdir -p /tmp/capture
 </code>
-  * Lancer tcpflow
+  * Lancer tcpflow :
-(ici, l'interface et eth0)
+(ici, l'interface est ''eth0'')
 <code>
-tcpflow -o /home/gameserver/capture -i eth0
+tcpflow -o /tmp/capture -i eth0
 </code>
-  * Lancer en tache de fond tcpflow
+  * Lancer en tâche de fond tcpflow :
 <code>
-nohup tcpflow -o /home/gameserver/capture -i eth0 &
+nohup tcpflow -o /tmp/capture -i eth0 &
 </code>
-  * Arreter les captures
+  * Arrêter les captures :
 <code>
@@ Ligne 47: / Ligne 47: @@
 </code>
-  * Analyser les captures
-  # fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, heure de capture, ...)
+===== Utilisation avec tcpdump =====
-  # fichier contenant les données - créé on le format suivant:
+  * Lancer la capture tcpdump :
-<ip source>.<port source>-<ip destination>.<port destination>
+<code>
+tcpdump -i eth0 -w /tmp/tcpdump.pcap
+</code>
-  # fichier contenant les données - créé on le format suivant:
+  * Arrêter la capture tcpdump :
-<ip source>.<port source>-<ip destination>.<port destination>.findx
+<code>
+pkill tcpdump
+</code>
-format : byte-index|timestamp|length
+  * Lire le fichier pcap (généré par tcpdump)
+<code>
+tcpflow -o /tmp/capture -r /tmp/tcpdump.pcap
+</code>
-===== Utilisation avec tcpdump =====
+===== Analyse =====
-  * Lancer la capture tcpdump
+==== Fichier pcap (tcpdump) ====
 <code>
-tcpdump -i eth0 -w capture.pcap
+# show flow
-</code>
+tcpdump -r /tmp/tcpdump.pcap
-  * Arreter la capture tcpdump
+# show raw data
+tcpdump -qns 0 -A -r /tmp/tcpdump.pcap
-<code>
+# show hexa data
-pkill tcpdump>
+tpdump -qns 0 -X -r /tmp/tcpdump.pcap
-</code>
-  * Lire le fichier pcap (generer par tcpdump)
+# show hexa data (filter exclude ssh)
-<code>
+tcpdump -qns 0 -X -r /tmp/tcpdump.pcap 'port not 22'
-tcpflow -o /home/gameserver/capture -r capture.pcap
 </code>
+==== Fichier tcpflow ====
+Analyser les captures :
+  - fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, l'heure de capture...)
+  - fichier contenant les données : <ip source>.<port source>-<ip destination>.<port destination>
+  - fichier contenant les index : <ip source>.<port source>-<ip destination>.<port destination>.findx
+format index: byte-index|timestamp|length
 ===== Doc =====
 https://github.com/simsong/tcpflow