« Tshark » : différence entre les versions
| (4 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 134 : | Ligne 134 : | ||
=== '''Exemple de sortie''' === | === '''Exemple de sortie''' === | ||
<pre>frame.time|ip.src|ip.dst| | <pre>frame.time|ip.src|ip.dst|frame.protocols|tcp.srcport|udp.srcport|http.host|dns.qry.name | ||
2025-05-20 | 2025-05-20 14:30:00|192.168.1.77|8.8.8.8|eth:ip:udp:dns| |53| |google.com | ||
2025-05-20 | 2025-05-20 14:30:01|192.168.1.77|151.101.1.69|eth:ip:tcp:http|49234| |example.org|</pre> | ||
----- | ----- | ||
<span id="variantes-selon-lanalyse-souhaitée"></span> | <span id="variantes-selon-lanalyse-souhaitée"></span> | ||
=== '''Variantes selon l’analyse souhaitée''' === | === '''Variantes selon l’analyse souhaitée''' === | ||
| Ligne 146 : | Ligne 146 : | ||
==== '''1. Analyse HTTP/HTTPS''' ==== | ==== '''1. Analyse HTTP/HTTPS''' ==== | ||
<syntaxhighlight lang="bash">sudo tshark -i eth0 -Y "http || | <syntaxhighlight lang="bash"> | ||
sudo tshark -i eth0 -Y "http || tls" -T fields \ | |||
-e ip.src -e http.host -e http.request.uri -e tls.handshake.extensions_server_name | |||
</syntaxhighlight> | |||
{| class="wikitable" | |||
|- | |||
! Composant | |||
! Exemple/Valeur | |||
! Description | |||
! Utilité | |||
|- | |||
| '''<code>sudo</code>''' | |||
| - | |||
| Exécute avec les privilèges root | |||
| Accès à l’interface réseau | |||
|- | |||
| '''<code>tshark</code>''' | |||
| - | |||
| Outil de capture réseau (CLI Wireshark) | |||
| Alternative puissante à tcpdump | |||
|- | |||
| '''<code>-i eth0</code>''' | |||
| <code>-i wlan0</code> | |||
| Capture sur l’interface ethernet | |||
| Cibler une interface spécifique | |||
|- | |||
| <pre>-Y "http || tls"</pre> | |||
| <code>-Y "dns"</code> | |||
| Filtre d’affichage :<br>• HTTP (non chiffré)<br>• TLS (HTTPS) | |||
| Isoler le trafic web | |||
|- | |||
| '''<code>-T fields</code>''' | |||
| - | |||
| Format de sortie en colonnes | |||
| Personnaliser l’affichage | |||
|- | |||
| '''<code>-e ip.src</code>''' | |||
| <code>192.168.1.77</code> | |||
| Adresse IP source | |||
| Identifier l’appareil émetteur | |||
|- | |||
| '''<code>-e http.host</code>''' | |||
| <code>example.com</code> | |||
| Domaine HTTP (Header Host) | |||
| Voir les sites visités (HTTP) | |||
|- | |||
| '''<code>-e http.request.uri</code>''' | |||
| <code>/search?q=test</code> | |||
| URI complète de la requête | |||
| Analyser les pages/requêtes | |||
|- | |||
| '''<code>-e tls.handshake.extensions_server_name</code>''' | |||
| <code>google.com</code> | |||
| SNI (Server Name Indication) | |||
| Voir les domaines HTTPS | |||
|} | |||
---- | |||
<span id="surveillance-dns"></span> | <span id="surveillance-dns"></span> | ||
<span id="détection-de-connexions-suspectes"></span> | <span id="détection-de-connexions-suspectes"></span> | ||
==== '''3. Détection de connexions suspectes''' ==== | ==== '''3. Détection de connexions suspectes''' ==== | ||
| Ligne 226 : | Ligne 283 : | ||
Cette commande vous donne une '''vision complète et organisée''' du trafic sur votre machine. Utilisez les filtres (<code>-Y</code>) pour cibler des protocoles spécifiques selon vos besoins ! | Cette commande vous donne une '''vision complète et organisée''' du trafic sur votre machine. Utilisez les filtres (<code>-Y</code>) pour cibler des protocoles spécifiques selon vos besoins ! | ||
[[Catégorie:Tools]] [[Catégorie:Linux]] [[Catégorie:Debian]] [[Catégorie:Softz]] | [[Catégorie:Tools]] [[Catégorie:Linux]] [[Catégorie:Debian]] [[Catégorie:Softz]] [[Catégorie: Terminal Tools]] | ||