Fonds Linux
  1. Fonds Linux
  3. Comment lire cette page man tcpdump?
Intereting Posts
Comment masquer / anonymiser / défendre un ordinateur sur des réseaux hostiles? Comment puis-je exécuter un script kwin à partir de la command line? Est-il possible de définir une version spécifique de packages dont dépend le package principal? Monter Google Drive sous Linux? Changez la forme du slider (ou la couleur) pour indiquer le mode vi dans bash Qu'est-ce que cela signifie d'avoir un $ "string de préfixe dollarsign" dans un script? Trouver une string (comme grep -q) dans seulement une section d'un file Comment le paramètre fsnotify affecte-t-il les performances du système? Comment faire pour Linux effacer / randomiser / désinfecter la RAM à l'arrêt? Comment installer Google Chrome sur Amazon Linux avec toutes ses dependencies? Quelle est l'alternative MS Word la plus complète? Imprimer des lignes randoms en respectant l'ordre du file source Débogage d'un problème de réseau Solaris Déterminer si le process est "connecté" à un autre process via des tuyaux Besoin de capturer stdout et de modifier la variable par reference à partir de la fonction dans bash

Comment lire cette page man tcpdump?

J'essaye d'utiliser la command tcpdump dans un projet et j'ai des difficultés à comprendre la page d'aide. 

SYNOPSIS tcpdump [ -AbdDefhgHIJKlLnNoOpPqRStuUvxX ] [ -B buffer_size ] [ -c count ] [ -C file_size ] [ -G rotate_seconds ] [ -F file ] [ -i interface ] [ -j tstamp_type ] [ -k (metadata_arg) ] [ -m module ] [ -M secret ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -E spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ] [ -Q packet-metadata-filter ] [ expression ]

Premièrement, qu'est-ce que "[-AbdDefhgHIJKlLnNoOpPqRStuUvxX]" en haut? Quelle est la signification de cela ? Je vois aussi beaucoup de gens sur Internet faire des choses folles avec cette command, par exemple tcpdmp -nnvvXSs 1514 … qu'est-ce que -nnvvXSs, et comment pouvons-nous savoir cela peut être utilisé?

Je vois des exemples de codes qui selon moi ne correspondent pas à la page de manuel, je ne comprends pas comment lire, comment comprendre ce file d'aide.

Quelqu'un me dit comment lire ceci et le comprendre?

Par convention, les parenthèses indiquent quelque chose qui est optionnel. Vous pouvez donc exécuter tcpdump ou tcpdump -c 3 -i eth0 , ou tcpdump -c 3 -r /path/to/file , etc. De plus, sauf indication explicite, les options peuvent être utilisées dans n'importe quel ordre afin que vous puissiez exécuter tcp -i eth0 -c 3 , etc.

La plupart des commands permettent de regrouper les options lorsqu'elles utilisent une seule lettre. Par exemple, tcpdump -AX est équivalent à tcpdump -A -X . Le manuel regroupe toutes les options qui ne prennent pas d'arguments pour rendre la présentation plus courte: [ -Abd ] serait un raccourci pour [ -A ] [ -b ] [ -d ] , etc.

Le synopsis n'est qu'un résumé. Lisez la section «description» ou «options» pour voir ce que chaque option fait et ce que le mot après chaque option peut être remplacé.

Par exemple, tcpdmp -nnvvXSs 1514 est un équivalent plus court de tcpdump -n -n -v -v -X -s -s 1514 , et signifie:

  • -n : ne pas faire de résolution de nom. La répétition de cette option n'a pas d'effet supplémentaire.
  • -v : provoque tcpdump pour imprimer plus de choses. La répétition de cette option entraîne l'printing d'encore plus de choses.
  • -X ajoute un vidage du contenu de chaque package à la sortie.
  • -S provoque l'printing de numéros de séquence TCP absolus.
  • -s 1514 ne provoque que les premiers 1514 octets de chaque package à capturer.

vous pouvez vérifier les pages man en faisant défiler vers le bas pour get plus de détails sur les options 

 root@ubuntu:~# man tcpdump

pour searchr n'importe quel type de mot-key / mot-key, puis entrez

Voici les options les plus courantes que vous pouvez utiliser avec tcpdump.

  • -i any: Ecoute sur toutes les interfaces juste pour voir si tu vois du trafic.

  • -i eth0: Ecoute sur l'interface eth0.

  • -D: affiche la list des interfaces disponibles

  • -n: Ne pas résoudre les noms d'hôte.

  • -nn: Ne pas résoudre les noms d'hôte ou les noms de port.
  • -q: Soyez less verbeux (plus calme) avec votre sortie.
  • -X: affiche le contenu du package en hexadécimal et en ASCII.
  • -XX: Identique à -X, mais affiche également l'en-tête Ethernet.
  • -v, -vv, -vvv: Augmente la quantité d'informations sur les packages que vous récupérez.
  • -c: n'obtient que x nombre de packages, puis arrête. icmp: Récupère uniquement les packages ICMP.
  • -s: Définit la longueur de la capture (en taille) de la capture en octets. Utilisez -s0 pour tout get, sauf si vous capturez intentionnellement less.
  • -S: affiche les numéros de séquence absolus.
  • -e: Récupère l'en-tête Ethernet.
  • -q: Affiche less d'informations sur le protocole.
  • -E: Déchiffrer le trafic IPSEC en fournissant une key de encryption.

vous pouvez vérifier les ressources en ligne si vous êtes débutant à Tcpdump frais gratuit pour vérifier ci-dessous.

https://danielmiessler.com/study/tcpdump/

http://packetpushers.net/masterclass-tcpdump-expressions/

Ok, je peux commencer à comprendre. Dis-moi si j'ai raison.

J'ai essayé ceci sur mon terminal sudo tcpdump -nnvvXeB 1024 host 10.11.204.15

Donc, si je comprends bien, -nnvvXeB 1024 est le même que -nn -vv -X -e -B 1024 sorcière est la même que -B 1024 -nn -X -e -vv sorcière est la même que -B 1024 -nnXevv

Est-ce que les autres "échangent" je peux faire avec cette command?

Dans la page man il y a différentes catégories "NAME" "SYNOPSIS" "DESCRIPTION" "OPTIONS" "OUTPUT FORMAT" etc … Si je comprends bien, les commands de "SYNOPSIS" sont toutes des commands qui doivent être suivies d'arguments par exemple -F doit être suivi d'un nom de file, -i par le nom d'une interface, etc.), alors que les éléments listés dans "OPTIONS" ne sont que des lettres simples qui peuvent être ajoutées sans argument.

Ai-je raison ? Merci