Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

- tcpdump - filtre - expression

YOSS

Bonjour,

J'ai besoin d'extraire les paquets d'un protocole bien specifique a partir de mon fichier pcap.

J'utilise pour cela tcpdump.
Pour le protocole icmp, ca fonctionne tres bien:

tcpdump -n -r test1.pcap icmp -w icmp.pcap

Par contre pour le reste non. Est ce qu'il y a d'autres solution ?

Merci beaucoup d'avance.

quaego

Bonjour,

Si c'est un fichier pcap standard, l'ouvrir avec Wireshark ? Il permet beaucoup de choses niveau filtres.

YOSS

Bonjour,

J'ai besoin de savoir les expression des filtres qui me permettent d'extraire des paquets d'un protocol bien specifique.

Et rediriger le resultat dans un autre fichier pcap.

Merci d'avance!

quaego

Si le protocole est connu de Wireshark, après avoir ouvert le pcap, aller dans Analyze, Display Filters..., Créer un nouveau filtre avec le protocole en question.

Display Filters, et liste des protocoles supportés.

tiramiseb

Salut,

Plutôt que de nous montrer la commande qui fonctionne, montre-nous ce qui ne fonctionne pas, pour qu'on puisse te dire par où chercher...

YOSS

Voici un exemple de commande qui ne marche pas:

sudo tcpdump -n -r FilestobeAnalyzed.pcap http -w http.pcap
reading from file FilestobeAnalyzed.pcap, link-type EN10MB (Ethernet)
tcpdump: syntax error

Merci pour vos reponses.

tiramiseb

Ah oui mais non : la mention simple du protocole de cette manière ne fonctionne que pour les protocoles de bas niveau (couches réseau ou transport).
HTTP est un protocole de la couche applicative.

tcpdump n'analyse pas le contenu des paquets, il n'est pas capable de dire si tel ou tel paquet est du HTTP ou un autre protocole. Ce n'est pas un outil magique.

Tout ce que tu peux faire, par exemple, c'est demander les paquets TCP sur le port 80 ; ce qui donnerait a priori :

tcpdump -n -r FilestobeAnalyzed.pcap tcp port 80 -w http.pcap

PS : pas besoin d'utiliser sudo pour travailler sur des fichiers.

YOSS

Merci tiramiseb pour ta reponse rapide!

J'ai besoin en fait de savoir s'il y a un filtre avec tcpdump ou wireshark qu'on peut lui donner tout simplement une expression (mot) bien determine pour faire le filtrage?

tiramiseb

Pas compris la question.

YOSS

Ok 🙂

Je dois faire le filtrage de plusieurs protocoles soit avec wirshark soit tcpdump.

Exemples de protocoles: BitTorrent, eDonkey, Oscar, SSL...

Est ce qu'on peut definir une expression propore a chaque prtocole pour extraire ses paquets ?

tiramiseb

BitTorrent, eDonkey, Oscar, ce sont des protocoles au niveau application. Donc inconnus de tcpdump en tant que tel : tout ce que tu peux faire, c'est chercher sur leurs numéros de ports par défaut.
Encore une fois, tcpdump ne lit pas le contenu des paquets, il ne fait pas de DPI (deep packet inspection).
SSL est une couche en-dessous, mais ça reste relativement haut : c'est "juste" un moyen de chiffrer, ce n'est pas un protocole de réseau.

Donc je répète, on ne peut pas définir une expression propre à un protocole de couche "application".

YOSS

D'accord, merci beaucoup!

quaego

Avec tshark (version ligne de commande de Wireshark), c'est possible si le protocole lui est connu (tshark sait reconstituer les paquets et travailler au dessus de la couche réseau de bas niveau). Exemple avec Bittorrent :

tshark -Y bittorrent -r FilestobeAnalyzed.pcap -w bittorrent.pcap

Pour les autres protocoles, voir s'ils sont supportés, et même syntaxe. Les contenus chiffrés resteront illisibles.

YOSS

Merci Quaego pour ta reponse!

Peux tu STP verifier les options utilises dans cette commande. En fait j'ai essaye de la corriger mais a chaque fois j'aobtient des erreurs. Elle ne fonctionne pas. Merci d'avance!

quaego

Dans quelle commande ? Celle que j'ai indiquée fonctionne. Comme je n'avais jamais essayé avec Bittorrent, je l'ai testée (Ubuntu 14.04) avant de poster, en utilisant le fichier .pcap "Sample Bittorrent" disponible sur le site de Wireshark (http://wiki.wireshark.org/SampleCaptures#BitTorrent_Protocol, version libpcap).

Sinon comme je l'avais indiqué, dans un premier temps pour avoir un peu d'assistance et un résultat interactif pour les tests : ouvrir le fichier pcap avec Wireshark, menu Analyze, Display Filters..., en bas taper le nom du protocole souhaité dans "Filter string:". Il y a complétion automatique durant la frappe, et cela devient vert si le filtre est valide. Ensuite "Valider", et on peut vérifier que le filtrage fonctionne.

La même valeur de filtre est valable pour le paramètre "-Y" de tshark.

Les filtres suivants sont reconnus : "bittorrent", "edonkey", "ssl". Par contre "Oscar" est inconnu.