analyse de trafic
tcpdump (ou WireShark, qui est une version avec une interface graphique) est un outil permettant de capturer un trafic réseau.
Le fait de pouvoir capturer un trafic sur une interface réseau n'est pas tout le temps autorisé, c'est pourquoi vous allez travailler sur des captures déjà faites.
tcpdump permet de faire cela en utilisant so option -r suivie du nom du fichier contenant la capture.
Ce qui transite sur un réseau est toujours un peu indigeste au premier abord. Il faut donc procéder par étape et se s'aider pour cela de certaines options de tcpdump.
Sur solaris, il peut y avoir plusieurs versions de tcpdump installées. Celle que vous devez utiliser est celle se trouvant dans le répertoire /opt/csw/sbin/.
Bien entendu, comme toute commande qui se respecte, tcpdump dispose d'un manuel complet, auquel je vous invite à vous reporter. Cependant, pour faciliter le démarage, je vous propose ici une petite liste des options principales :
En plus des options qui modifient la façon dont il affiche les données, il est possible de passer des expressions qui vont modifier ce qu'il affiche, pour n'en sélectionner qu'une partie.
Par exemple, si l'on désire n'avoir que le rafic concernant la machine dont l'adresse IP est 192.168.1.1, il est possible d'écrire :
#> tcpdump -r dump.pc host 192.168.1.1
De même, si l'on ne veut que s'intéresser au trafic entrant sur le port 80, on peut écrire :
#> tcpdump -r dump.pc dst port 80
Je vous propose quatre fichiers à analyser :
Il est conseillé des les prendre dans l'ordre, leur difficulté allant croissante.
Enregistrez sur votre poste chacun de ces fichiers et passez les à la moulinette de tcpdump pour déterminer :