Capturer du trafic réseau avec TCPDUMP puis le filtrer et l’analyser avec WireShark ( partie 1 )

Bonjour, ce guide se fera en deux parties, la première expliquant comment capturer le trafic avec TCPDUMP et la seconde expliquant comment analyser et filtrer cette capture avec WireShark.
Cet article constitue la partie 1 du guide, la partie 2 est ici

En tant qu’informaticien, il est toujours bien de connaitre le trafic qui passe sur telle ou telle interface d’un pare-feu par exemple.

Personnellement, je voulais savoir ce qui passait sur un pare-feu IPCOP, et IPCOP étant une distribution LINUX, j’ai pu me servir du formidable outil TCPDUMP.

Pour cela, vous prenez votre routeur/pare-feu en CLI, donc ça peut être en ssh, console… enfin bref, ils faut que vous ayez accès au shell de votre équipement !

La première chose que je vous conseille de faire, c’est un ipconfig pour connaitre le nom de vos interfaces et donc savoir quel nom mettre dans la commande, c’est à dire, sur quelle interface mettre en place la capture.

Une fois ceci fait, vous n’avez plus qu’a entre la commande tcpdump, c’est une commande puissante, avec beaucoup d’options, dans cet article, je parlerai de celles qui me seront utiles, mais je vous met la doc officielle avec toutes les options, vous trouvez votre bonheur : http://www.tcpdump.org/tcpdump_man.html

Bref, ma commande se présente sous cette forme :
tcpdump ‘(not (src 192.168.0.1))’  -i lan-1 -s 0 -w test.pcap

Je vous explique le contenu :

  • ‘(not (src 192.168.0.1))’ =  c’est une exclusion, tout paquet avec comme IP source 192.168.0.1 ne sera pas capturé, en fait, cette addresse est celle de mon serveur PRTG ( supervision ), je sais déjà ce qu’il envoie, et ayant beaucoup de machines, il flooderait ma capture.
    Bien entendu, vous n’êtes pas obligé de mettre cette option
  • -i lan-1 = l’option -i définit l’interface sur laquelle vous voulez capturer, ici, vous mettrez l’interface qui vous intéresse ( j’explique plus haut comment connaitre son nom)
  • -s 0 = cette option est un peu complexe, mais lorsque vous voulez mettre le contenu de votre capture dans un fichier pcap pour l’analyser avec wireshark, cette option permet d’éviter que votre capture se segmente en plusieurs morceaux.
  • -w test.pcap = c’est avec cette option que vous indiquez le fichier dans lequel vous souhaitez stocker votre capture, si vous n’en mettez aucun, la capture s’affichera dans votre shell, sous vos yeux.

Si vous cherchez quelque chose qui n’est pas dans ce que j’explique, consulter la doc, je vous ai mis le lien un plus haut.

Vous entrez donc cette commande faite à votre sauce dans votre équipement.

Suite à cela, il vous faudra récupérer votre fichier pcap depuis votre routeur/pare-feu pour le mettre et l’analyser sur votre PC, pour cela, j’utiliserai le logiciel WINSCP, vous pouvez le télécharger ici : https://winscp.net/eng/download.php

capture1

Installez le, ouvrez le, ensuite, via la fenêtre ci-dessous, entrez l’IP, le login et le mot de passe de votre routeur/pare-feu. Vous devriez arriver à la fenêtre ci-dessous.

capture3

A droite, vous avez le contenu de votre équipement, à gauche, celui de votre pc.
On voit bien notre test.pcap apparaitre dans le dossier root du pare-feu, pour le telecharger, on le sélectionne puis download.

Ca y est ! maintenant, il ne reste plus qu’a se rendre dans wireshark, de sélectionner Ouvrir, et de trouver votre fichier pcap que vous venez de télécharger, la suite ou nous verrons comment analyser, trier notre capture se trouve ici

J’espère que cette premiere partie vous aura été utile, n’hésitez pas à aller consulter la deuxième partie, si vous avec des questions, laissez moi un commentaire

2 commentaires sur “Capturer du trafic réseau avec TCPDUMP puis le filtrer et l’analyser avec WireShark ( partie 1 )

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s