> Et à un moment, apparaît ce type de ligne :
>
> 11:10:12.254698 machine10 > 213.225.139.130: ip-proto-50 84
>
> 11:10:13.350640 213.225.139.130 > machine10: ip-proto-50 84
>
> 11:10:13.351085 machine10 > 213.225.139.130: ip-proto-50 76
>
> 11:10:13.355054 machine10 > 213.225.139.130: ip-proto-50 76
>
>
> ma question : quel peut-être le sens ici de "ip-proto-50" ???
En montrant le contenu de tel packet, cela permettrait de deviner.
Cela doit être un protocol sur IP de code '50' mais qui
n'est pas connu par tcpdump
Extrait de la doc à ce propos:
proto qualifiers restrict the match to a particu
lar protocol. Possible protos are: ether,
fddi, tr, ip, ip6, arp, rarp, decnet, tcp
and udp. E.g., `ether src foo', `arp net
128.3', `tcp port 21'. If there is no proto
qualifier, all protocols consistent with the
type are assumed. E.g., `src foo' means
`(ip or arp or rarp) src foo' (except the
latter is not legal syntax), `net bar' means
`(ip or arp or rarp) net bar' and `port 53'
means `(tcp or udp) port 53'.
ip proto protocol
True if the packet is an IP packet (see
ip(4P)) of protocol type protocol. Protocol
can be a number or one of the names icmp,
icmp6, igmp, igrp, pim, ah, esp, udp, or
tcp. Note that the identifiers tcp, udp,
and icmp are also keywords and must be
escaped via backslash (\), which is \\ in
the C-shell. Note that this primitive does
not chase protocol header chain.
Sinon, je te conseille 'ethereal'
qui est un front-end sur tcpdump permettant l'analyse des packets
et des connexions avec une impressionnante liste des protocoles
décodés.
(si tu ne peux le lancer directement, tu peux faire sauver les
packets à ton tcpdump avant de les relire avec ethereal)
A+
--
Yves Martin
