Marmits Wiki

« Tshark » : différence entre les versions

← Modification précédenteModification suivante →
Ligne 45 : Ligne 45 :
<span id="explications-des-options"></span>
<span id="explications-des-options"></span>
==== '''Explications des options :''' ====
==== '''Explications des options :''' ====
{| class="wikitable"
{| class="wikitable"
|-
|-
! Option
! Composant
! Exemple/Format
! Description
! Description
! Pourquoi l’utiliser ?
|-
| '''<code>tshark</code>'''
| -
| Outil de capture et analyse de trafic (version CLI de Wireshark).
| Alternative puissante à <code>tcpdump</code>.
|-
|-
| '''<code>-i eth0</code>'''
| '''<code>-i eth0</code>'''
| Capture sur l’interface réseau (remplacez par <code>wlan0</code> pour le Wi-Fi).
| <code>-i wlan0</code> (pour le Wi-Fi)
| Capture le trafic sur l’interface <code>eth0</code>.
| Cible une interface spécifique.
|-
|-
| '''<code>-f &quot;not port 22&quot;</code>'''
| '''<code>-f &quot;not port 22&quot;</code>'''
| Filtre BPF (noyau) : exclut le trafic SSH pour réduire le bruit.
| <code>-f &quot;port 53&quot;</code>
| '''Filtre BPF (noyau)''' : Exclut le trafic SSH (port 22).
| Réduit le bruit en ignorant les paquets non pertinents dès la capture.
|-
|-
| '''<code>-Y &quot;not ssh&quot;</code>'''
| '''<code>-Y &quot;not ssh&quot;</code>'''
| Filtre d’affichage : supprime les paquets SSH résiduels.
| <code>-Y &quot;http&quot;</code>
| '''Filtre d’affichage''' : Supprime les paquets SSH résiduels.
| Affine les résultats après capture.
|-
|-
| '''<code>-T fields</code>'''
| '''<code>-T fields</code>'''
| Format de sortie en colonnes personnalisées.
| -
| Spécifie un format de sortie en colonnes personnalisées.
| Permet de choisir les champs à afficher.
|-
|-
| '''<code>-e frame.time</code>'''
| '''<code>-e frame.time</code>'''
| <code>2025-05-20 14:30:00.123456</code>
| Horodatage du paquet.
| Horodatage du paquet.
| Pour tracer l’heure exacte des événements.
|-
| '''<code>-e ip.src</code>'''
| <code>192.168.1.77</code>
| Adresse IP source.
| Identifie l’origine du trafic.
|-
| '''<code>-e ip.dst</code>'''
| <code>8.8.8.8</code>
| Adresse IP destination.
| Identifie la cible du trafic.
|-
|-
| '''<code>-e ip.src</code> / <code>-e ip.dst</code>'''
| '''<code>-e frame.protocols</code>'''
| Adresses IP source et destination.
| <code>eth:ip:tcp:http</code>
| Liste des protocoles utilisés (par couche).
| Comprendre la structure des paquets (ex: TCP vs UDP, HTTP vs DNS).
|-
|-
| '''<code>-e proto</code>'''
| '''<code>-e tcp.srcport</code>'''
| Protocole (TCP/UDP/ICMP, etc.).
| <code>443</code> (HTTPS)
| Port source TCP (si applicable).
| Identifier les services TCP (ex: 443 = HTTPS, 80 = HTTP).
|-
|-
| '''<code>-e tcp.port</code> / <code>-e udp.port</code>'''
| '''<code>-e udp.srcport</code>'''
| Ports source/destination.
| <code>53</code> (DNS)
| Port source UDP (si applicable).
| Identifier les services UDP (ex: 53 = DNS, 67 = DHCP).
|-
|-
| '''<code>-e http.host</code>'''
| '''<code>-e http.host</code>'''
| Affiche les hôtes HTTP (si trafic web).
| <code>example.com</code>
| Hôte HTTP (si trafic web).
| Voir les sites web visités.
|-
|-
| '''<code>-e dns.qry.name</code>'''
| '''<code>-e dns.qry.name</code>'''
| Affiche les requêtes DNS.
| <code>google.com</code>
| Nom de domaine interrogé en DNS.
| Surveiller les requêtes DNS.
|-
|-
| '''<code>-E separator=&quot;|&quot;</code>'''
| '''<code>-E separator=&quot;|&quot;</code>'''
| Séparateur de colonnes (lisible).
| <code>ip.src|ip.dst</code>
| Définit <code>|</code> comme séparateur de colonnes.
| Rend la sortie plus lisible (CSV-friendly).
|-
|-
| '''<code>-E header=y</code>'''
| '''<code>-E header=y</code>'''
| Affiche les en-têtes des colonnes.
| -
| Affiche les en-têtes de colonnes.
| Comprendre facilement ce que représente chaque champ.
|}
|}


-----
-----
Récupérée de "https://marmits.com/wiki/Tshark"