Re: Interprétation log tcpdump

Page principale

Répondre à ce message
Auteur: Yves Martin
Date:  
À: guilde
Sujet: Re: Interprétation log tcpdump
> Et à un moment, apparaît ce type de ligne :
>
> 11:10:12.254698 machine10 > 213.225.139.130: ip-proto-50 84
>
> 11:10:13.350640 213.225.139.130 > machine10: ip-proto-50 84
>
> 11:10:13.351085 machine10 > 213.225.139.130: ip-proto-50 76
>
> 11:10:13.355054 machine10 > 213.225.139.130: ip-proto-50 76
>
>
> ma question : quel peut-être le sens ici de "ip-proto-50" ???


En montrant le contenu de tel packet, cela permettrait de deviner.
Cela doit être un protocol sur IP de code '50' mais qui
n'est pas connu par tcpdump

  Extrait de la doc à ce propos:
              proto  qualifiers restrict the match to a  particu­
                     lar  protocol.   Possible protos are: ether,
                     fddi, tr, ip, ip6, arp,  rarp,  decnet,  tcp
                     and  udp.   E.g.,  `ether src foo', `arp net
                     128.3', `tcp port 21'.  If there is no proto
                     qualifier, all protocols consistent with the
                     type are assumed.   E.g.,  `src  foo'  means
                     `(ip  or  arp  or rarp) src foo' (except the
                     latter is not legal syntax), `net bar' means
                     `(ip  or arp or rarp) net bar' and `port 53'
                     means `(tcp or udp) port 53'.


              ip proto protocol
                     True  if  the  packet  is  an IP packet (see
                     ip(4P)) of protocol type protocol.  Protocol
                     can  be  a  number or one of the names icmp,
                     icmp6, igmp, igrp, pim,  ah,  esp,  udp,  or
                     tcp.   Note  that  the identifiers tcp, udp,
                     and icmp  are  also  keywords  and  must  be
                     escaped  via  backslash  (\), which is \\ in
                     the C-shell.  Note that this primitive  does
                     not chase protocol header chain.


Sinon, je te conseille 'ethereal'
qui est un front-end sur tcpdump permettant l'analyse des packets
et des connexions avec une impressionnante liste des protocoles
décodés.
(si tu ne peux le lancer directement, tu peux faire sauver les
packets à ton tcpdump avant de les relire avec ethereal)

A+

--
Yves Martin