Logo Khaganat

Wikhan

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
fr:tcpflow [2018/06/15 20:50] aleajactaestfr:tcpflow [2021/12/03 18:19] (Version actuelle) – modification externe 127.0.0.1
Ligne 2: Ligne 2:
  
  
-{{tag>Tag_a_ajouter}}+{{tag>sysadmin tutoriel}}
  
 ===== Fonction ===== ===== Fonction =====
  
-TcpFlow permet de faire des capture comme tcpdump.+TcpFlow permet de faire des captures comme tcpdump.
  
-Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port+Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port)
  
 ===== Installation ===== ===== Installation =====
-apt-get install tcpflow+  apt-get install tcpflow
  
 ===== Utilisation ===== ===== Utilisation =====
  
-  * Récupérer l'interface utilisé pour communiquer+  * Récupérer l'interface utilisée pour communiquer :
  
 <code> <code>
-ip a+ip l
 </code> </code>
  
-  * préparer le répertoire réceptionnant les capture+  * préparer le répertoire réceptionnant les captures :
  
 <code> <code>
-mkdir -p /home/gameserver/capture+mkdir -p /tmp/capture
 </code> </code>
  
-  * Lancer tcpflow+  * Lancer tcpflow :
  
-(ici, l'interface et eth0)+(ici, l'interface est ''eth0'')
  
 <code> <code>
-tcpflow -o /home/gameserver/capture -i eth0+tcpflow -o /tmp/capture -i eth0
 </code> </code>
  
-  * Lancer en tache de fond tcpflow+  * Lancer en tâche de fond tcpflow :
  
 <code> <code>
-nohup tcpflow -o /home/gameserver/capture -i eth0 &+nohup tcpflow -o /tmp/capture -i eth0 &
 </code> </code>
  
-  * Arreter les captures+  * Arrêter les captures :
  
 <code> <code>
Ligne 50: Ligne 50:
 ===== Utilisation avec tcpdump ===== ===== Utilisation avec tcpdump =====
  
-  * Lancer la capture tcpdump+  * Lancer la capture tcpdump :
  
 <code> <code>
-tcpdump -i eth0 -w capture.pcap+tcpdump -i eth0 -w /tmp/tcpdump.pcap
 </code> </code>
  
-  * Arreter la capture tcpdump+  * Arrêter la capture tcpdump :
  
 <code> <code>
-pkill tcpdump>+pkill tcpdump
 </code> </code>
  
-  * Lire le fichier pcap (generer par tcpdump)+  * Lire le fichier pcap (généré par tcpdump)
 <code> <code>
-tcpflow -o /home/gameserver/capture -r capture.pcap +tcpflow -o /tmp/capture -r /tmp/tcpdump.pcap
 </code> </code>
  
 ===== Analyse ===== ===== Analyse =====
  
-Analyser les captures+==== Fichier pcap (tcpdump) ====
  
-  - fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, heure de capture...) +<code> 
-  - fichier contenant les données - créé on le format suivant: <ip source>.<port source>-<ip destination>.<port destination> +# show flow 
-  - fichier contenant les données - créé on le format suivant: <ip source>.<port source>-<ip destination>.<port destination>.findx +tcpdump -r /tmp/tcpdump.pcap 
-format : byte-index|timestamp|length+ 
 +# show raw data 
 +tcpdump -qns 0 -A -r /tmp/tcpdump.pcap 
 + 
 +# show hexa data 
 +tpdump -qns 0 -X -r /tmp/tcpdump.pcap 
 + 
 +# show hexa data (filter exclude ssh) 
 +tcpdump -qns 0 -X -r /tmp/tcpdump.pcap 'port not 22' 
 +</code> 
 + 
 + 
 +==== Fichier tcpflow ==== 
 +Analyser les captures : 
 + 
 +  - fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, l'heure de capture...) 
 +  - fichier contenant les données : <ip source>.<port source>-<ip destination>.<port destination> 
 +  - fichier contenant les index : <ip source>.<port source>-<ip destination>.<port destination>.findx 
 + 
 +format index: byte-index|timestamp|length
  
  
 ===== Doc ===== ===== Doc =====
 https://github.com/simsong/tcpflow https://github.com/simsong/tcpflow
CC Attribution-Share Alike 4.0 International Driven by DokuWiki
fr/tcpflow.1529095850.txt.gz · Dernière modification : (modification externe)
Licences Mentions légales Accueil du site Contact Inclusion