Bonjour à tous,
J'ai un petit souci d'interprétation de log sur un sniff entre deux
machines.
La commande : tcpdump -i eth0 > sniff , jusque là ça va :-)
la réso de nom fait que machine10 = station LAN et 213...... = remote host
En filtrant le fichier resultant sur une des deux machines en connexion,
j'obtient une trace compréhensible du style :
11:10:08.808402 machine10.500 > 213.225.139.130.500: udp 52
11:10:08.908792 machine10.500 > 213.225.139.130.500: udp 52
11:10:09.008917 machine10.500 > 213.225.139.130.500: udp 52
11:10:09.302180 machine10.500 > 213.225.139.130.500: udp 748
11:10:04.433086 213.225.139.130.264 > machine10.1896: . ack 527 win 16384
11:10:04.433338 machine10.1896 > 213.225.139.130.264: P 527:620(93) ack 639
win 16384 (DF)
11:10:05.238408 213.225.139.130.264 > machine10.1896: . 639:1151(512) ack
620 win 16384
11:10:05.242863 213.225.139.130.264 > machine10.1896: . 1151:1663(512) ack
620 win 16384
11:10:05.243161 machine10.1896 > 213.225.139.130.264: . ack 1663 win 16384
(DF)
Et à un moment, apparaît ce type de ligne :
11:10:12.254698 machine10 > 213.225.139.130: ip-proto-50 84
11:10:13.350640 213.225.139.130 > machine10: ip-proto-50 84
11:10:13.351085 machine10 > 213.225.139.130: ip-proto-50 76
11:10:13.355054 machine10 > 213.225.139.130: ip-proto-50 76
ma question : quel peut-être le sens ici de "ip-proto-50" ???
