Ceci est une ancienne révision du document !
Tcpflow
Fonction
TcpFlow permet de faire des capture comme tcpdump.
Il écrit dans des fichiers (un fichier par connexion émetteur/récepteur/port
Installation
apt-get install tcpflow
Utilisation
- Récupérer l'interface utilisé pour communiquer
ip a
- préparer le répertoire réceptionnant les capture
mkdir -p /home/gameserver/capture
- Lancer tcpflow
(ici, l'interface et eth0)
tcpflow -o /home/gameserver/capture -i eth0
- Lancer en tache de fond tcpflow
nohup tcpflow -o /home/gameserver/capture -i eth0 &
- Arreter les captures
pkill tcpflow
Utilisation avec tcpdump
- Lancer la capture tcpdump
tcpdump -i eth0 -w capture.pcap
- Arreter la capture tcpdump
pkill tcpdump>
- Lire le fichier pcap (generer par tcpdump)
tcpflow -o /home/gameserver/capture -r capture.pcap
Analyse
Analyser les captures
- fichier report.xml (contient la liste de tous les fichiers de capture avec la taille, heure de capture, …)
- fichier contenant les données - créé on le format suivant: <ip source>.<port source>-<ip destination>.<port destination>
- fichier contenant les données - créé on le format suivant: <ip source>.<port source>-<ip destination>.<port destination>.findx
format : byte-index|timestamp|length
