SlideShare une entreprise Scribd logo
Linux LPIC2 noelmace.com
Noël Macé
Formateur et Consultant indépendant expert Unix et FOSS
http://www.noelmace.com
Surveillance et analyse de traffic
TCP/IP
Configuration Réseau
Licence Creative Commons
Ce(tte) œuvre est mise à disposition selon les termes de la
Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France.
Linux LPIC2 noelmace.com
Plan
• netcat
• netcat : options générales
• Scanner de ports avec netcat
• Netcat client / serveur
• Netstat
• Analyse de paquets avec Tcpdump
• Analyse de paquets avec Wireshark
• nmap : scanner de ports et plus
Linux LPIC2 noelmace.com
netcat
• Le couteau suisse du TCP/IP
 gestion des sockets (peu établir n'importe quelle connexion)
 s'utilise aussi bien en tant que client que serveur
 scriptable
 multiplateforme (disponible sous Windows et Mac OS X)
 nombreux usages
• capture de bannière
• scan de ports
• etc ...
$ nc [ options ] [ hostname ] [ ports ]$ nc [ options ] [ hostname ] [ ports ]
Linux LPIC2 noelmace.com
netcat : options générales
• Options :
 -u : passer en mode UDP
 -i int : effectuer l'opération suivant un intervalle de int secondes
 -v : verbose
• -vv pour plus d'informations
 -x adresse[:port] : connexion via un proxy
$ nc [ options ] [ hostname ] [ ports ]$ nc [ options ] [ hostname ] [ ports ]
Linux LPIC2 noelmace.com
Scanner de ports avec netcat
• Scanner des ports 100 à 1, puis 443
 -r pour scanner aléatoirement (plus discret)
 par défaut, se stoppe dés qu'il trouve un port ouvert, et attend une E/S
• -z pour passer en mode zero I/O
• Exemple
$ nc -vv 127.0.0.1 1-100 443$ nc -vv 127.0.0.1 1-100 443
$ nc -vv -i 3 -r -z 127.0.0.1 21 23 80-160 1337$ nc -vv -i 3 -r -z 127.0.0.1 21 23 80-160 1337
Linux LPIC2 noelmace.com
Netcat client / serveur
• ouvrir netcat en mode listening (serveur) sur le port 1337
 -k pour continuer à écouter après réception d'une connection
• se connecter au serveur (coté client)
• Exemple : transfert de fichiers
 serveur
 client
$ nc -l -p 1337$ nc -l -p 1337
$ nc monserveur 1337$ nc monserveur 1337
$ cat file.tar.gz | nc -l 1337$ cat file.tar.gz | nc -l 1337
$ nc monserveur 1337 > file.tar.gz$ nc monserveur 1337 > file.tar.gz
Linux LPIC2 noelmace.com
Netstat
• Afficher un grand nombre d'informations
 connections
 tables de routage
 statistiques sur les interfaces
 connexions masquées
 messages netlink
 multicasts
• Considéré comme obsolète
 remplacé par ss et ip
$ netstat [options]$ netstat [options]
Linux LPIC2 noelmace.com
Netstat
• Options
 aucune : lister les sockets ouverts
 -a : Affiche toutes les connexions TCP actives et les ports TCP et UDP sur lesquels l'ordinateur écoute
 -i iface / --interface=iface : afficher les informations sur une interface
• similaire à ifconfig ou ip -s link
 -r / --route : afficher les tables de routage noyau
• similaire à ip route
 --masquerade / -M : afficher les informations relatives aux connections masquées
• fonctionnalité NAT de Linux
• réseaux "cachés" derrière une unique adresse IP
 -p / --programs : afficher le nom et le PID des processus propriétaires de chaque socket
$ netstat [options]$ netstat [options]
Linux LPIC2 noelmace.com
Analyse de paquets avec Tcpdump
• obtenir les détails sur le trafic visible depuis une interface
 une ligne par paquet
• date protocole source:port > destination:port : informations
• Exemple
# tcpdump [options] [-i interface] [pcap-filter expression]# tcpdump [options] [-i interface] [pcap-filter expression]
# tcpdump -i eth1 host 8.8.8.8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
11:48:56.922382 IP debian.local > google-public-dns-a.google.com: ICMP echo request, id 2933, seq 1,
length 64
11:48:57.053722 IP google-public-dns-a.google.com > debian.local: ICMP echo reply, id 2933, seq 1,
length 64
11:48:57.922897 IP debian.local > google-public-dns-a.google.com: ICMP echo request, id 2933, seq 2,
length 64
11:48:57.989884 IP google-public-dns-a.google.com > debian.local: ICMP echo reply, id 2933, seq 2,
length 64
# tcpdump -i eth1 host 8.8.8.8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
11:48:56.922382 IP debian.local > google-public-dns-a.google.com: ICMP echo request, id 2933, seq 1,
length 64
11:48:57.053722 IP google-public-dns-a.google.com > debian.local: ICMP echo reply, id 2933, seq 1,
length 64
11:48:57.922897 IP debian.local > google-public-dns-a.google.com: ICMP echo request, id 2933, seq 2,
length 64
11:48:57.989884 IP google-public-dns-a.google.com > debian.local: ICMP echo reply, id 2933, seq 2,
length 64
Linux LPIC2 noelmace.com
Analyse de paquets avec Wireshark
• Anciennement dénommé Ethereal (avant mai 2006)
• Disponible sur les systèmes Unix et Windows
• Né en 1998, grâce à Gerald Combs
• Deux solutions :
 GUI
 ligne de commande : TShark
# tshark [-i interface] [pcap-filter expression]# tshark [-i interface] [pcap-filter expression]
Linux LPIC2 noelmace.com
nmap : scanner de ports et plus
• TCP connect scan
• UDP scan
• identification des machines d'un réseau
• identifier l'OS d'une machine
# nmap -sT hostname# nmap -sT hostname
# nmap -sU hostname# nmap -sU hostname
# nmap -sP <cible># nmap -sP <cible>
# nmap -O --osscan-guess 127.0.0.1# nmap -O --osscan-guess 127.0.0.1
Linux LPIC2 noelmace.com
Ce qu’on a couvert
• netcat
• netstat
• tcpdump
• wireshark
• nmap
Weight : 4
Description : Candidates should be able to configure a network device to implement
various network authentication schemes. This objective includes configuring a multi-homed
network device, configuring a VPN client and resolving communication problems.
205.2 Advanced Network Configuration and Troubleshooting (Part 2)
Linux LPIC2 noelmace.com
Licence
Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à disposition selon les termes de la
Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France.
Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou écrivez à :
Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA.
Vous êtes libre de :
 partager — reproduire, distribuer et communiquer cette œuvre
 remixer — adapter l’œuvre
Selon les conditions suivantes :
 Attribution — Vous devez clairement indiquer que ce document, ou tout document dérivé de celui, est (issu de) l’œuvre
originale de Noël Macé (noelmace.com) (sans suggérer qu'il vous approuve, vous ou votre utilisation de l’œuvre, à moins
d'en demander expressément la permission).
 Pas d’Utilisation Commerciale — Vous n’avez pas le droit d’utiliser cette œuvre à des fins commerciales (ie. l'intention
première ou l'objectif d'obtenir un avantage commercial ou une compensation financière privée). Pour obtenir ce droit, une
autorisation explicite de l'auteur est requise.
 Partage dans les Mêmes Conditions — Si vous modifiez, transformez ou adaptez cette œuvre, vous n’avez le droit de
distribuer votre création que sous une licence identique ou similaire à celle-ci.
Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un dérivé de celui-ci sous une
licence incompatible, contacter l'auteur via les contacts indiqués sur le site http://www.noelmace.com. Vous êtes par ailleurs
vivement encouragé (sans obligation légale) à communiquer avec celui-ci si vous réalisez une œuvre dérivée ou toute amélioration
de ce support.

Contenu connexe

Tendances

présentation des services Open Source pour GNU/Linux
présentation des services Open Source pour GNU/Linuxprésentation des services Open Source pour GNU/Linux
présentation des services Open Source pour GNU/Linux
Noël
 
10 01 configuration dhcp
10 01 configuration dhcp10 01 configuration dhcp
10 01 configuration dhcp
Noël
 
DHCP sous Ubuntu
DHCP sous Ubuntu DHCP sous Ubuntu
DHCP sous Ubuntu
Souhaib El
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
Noël
 
Genma - Vulgarisons le DNS
Genma - Vulgarisons le DNSGenma - Vulgarisons le DNS
Genma - Vulgarisons le DNS
Jérôme aka "Genma" Kun
 
Presentation
PresentationPresentation
Presentation
Abdelghafour Zguindou
 
09 02 configuration du serveur nfs
09 02 configuration du serveur nfs09 02 configuration du serveur nfs
09 02 configuration du serveur nfs
Noël
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
AnDaolVras
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
Dimitri LEMBOKOLO
 
system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)
ninanoursan
 
Adresses ip et dns
Adresses ip et dnsAdresses ip et dns
Adresses ip et dns
nanoune1965
 
Samba 4
Samba 4Samba 4
Dhcp sous fedora 11
Dhcp sous fedora 11Dhcp sous fedora 11
Dhcp sous fedora 11
Dimitri LEMBOKOLO
 
LPIC1 11 01 sécurité réseaux
LPIC1 11 01 sécurité réseauxLPIC1 11 01 sécurité réseaux
LPIC1 11 01 sécurité réseaux
Noël
 
Administration reseau linux
Administration reseau linuxAdministration reseau linux
Administration reseau linux
Riadh Briki
 
service NFS sous linux
 service NFS sous linux service NFS sous linux
service NFS sous linux
Souhaib El
 
Formation Linux - Initiation
Formation Linux - InitiationFormation Linux - Initiation
Formation Linux - Initiation
robertpluss
 
Cours linux complet
Cours linux completCours linux complet
Cours linux complet
aubin82
 

Tendances (19)

présentation des services Open Source pour GNU/Linux
présentation des services Open Source pour GNU/Linuxprésentation des services Open Source pour GNU/Linux
présentation des services Open Source pour GNU/Linux
 
10 01 configuration dhcp
10 01 configuration dhcp10 01 configuration dhcp
10 01 configuration dhcp
 
DHCP sous Ubuntu
DHCP sous Ubuntu DHCP sous Ubuntu
DHCP sous Ubuntu
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
 
Genma - Vulgarisons le DNS
Genma - Vulgarisons le DNSGenma - Vulgarisons le DNS
Genma - Vulgarisons le DNS
 
Presentation
PresentationPresentation
Presentation
 
09 02 configuration du serveur nfs
09 02 configuration du serveur nfs09 02 configuration du serveur nfs
09 02 configuration du serveur nfs
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
 
system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)system de gestion Nfs (Network File System)
system de gestion Nfs (Network File System)
 
Adresses ip et dns
Adresses ip et dnsAdresses ip et dns
Adresses ip et dns
 
Samba 4
Samba 4Samba 4
Samba 4
 
Dhcp sous fedora 11
Dhcp sous fedora 11Dhcp sous fedora 11
Dhcp sous fedora 11
 
LPIC1 11 01 sécurité réseaux
LPIC1 11 01 sécurité réseauxLPIC1 11 01 sécurité réseaux
LPIC1 11 01 sécurité réseaux
 
Administration reseau linux
Administration reseau linuxAdministration reseau linux
Administration reseau linux
 
Atelier 2
Atelier 2Atelier 2
Atelier 2
 
service NFS sous linux
 service NFS sous linux service NFS sous linux
service NFS sous linux
 
Formation Linux - Initiation
Formation Linux - InitiationFormation Linux - Initiation
Formation Linux - Initiation
 
Cours linux complet
Cours linux completCours linux complet
Cours linux complet
 

En vedette

Firewalls
FirewallsFirewalls
Firewalls
c0r3war
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
michelcusin
 
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème edition
Wifi professionnel la norme 802.11, le déploiement, la sécurité   3ème editionWifi professionnel la norme 802.11, le déploiement, la sécurité   3ème edition
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème edition
elpunk
 
Firewall
FirewallFirewall
Firewall
Yadh Krandel
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatique
Sylvain Maret
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux
Yassmina AGHIL
 
DNS sous linux
DNS sous linuxDNS sous linux
DNS sous linux
Souhaib El
 
NMAP
NMAPNMAP
cours de microscope
cours de microscopecours de microscope
cours de microscope
Marc Evin
 
DDoS Attacks in 2017: Beyond Packet Filtering
DDoS Attacks in 2017: Beyond Packet FilteringDDoS Attacks in 2017: Beyond Packet Filtering
DDoS Attacks in 2017: Beyond Packet Filtering
Qrator Labs
 
DDoS attacks
DDoS attacksDDoS attacks
DDoS attacks
Ch Anas Irshad
 
Audit Denial of Service (ddos)
Audit Denial of Service (ddos)Audit Denial of Service (ddos)
Audit Denial of Service (ddos)
Phonesec
 
10 Most Common DDo S Attacks
10 Most Common DDo S Attacks10 Most Common DDo S Attacks
10 Most Common DDo S Attacks
IntruGuard
 
Deep Learning for Artificial Intelligence (AI)
Deep Learning for Artificial Intelligence (AI)Deep Learning for Artificial Intelligence (AI)
Deep Learning for Artificial Intelligence (AI)
Er. Shiva K. Shrestha
 
06 03 route
06 03 route06 03 route
06 03 route
Noël
 
06 04 arp
06 04 arp06 04 arp
06 04 arp
Noël
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nom
Noël
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegarde
Noël
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
Zellagui Amine
 

En vedette (20)

Firewalls
FirewallsFirewalls
Firewalls
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème edition
Wifi professionnel la norme 802.11, le déploiement, la sécurité   3ème editionWifi professionnel la norme 802.11, le déploiement, la sécurité   3ème edition
Wifi professionnel la norme 802.11, le déploiement, la sécurité 3ème edition
 
Firewall
FirewallFirewall
Firewall
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatique
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux
 
DNS sous linux
DNS sous linuxDNS sous linux
DNS sous linux
 
NMAP
NMAPNMAP
NMAP
 
cours de microscope
cours de microscopecours de microscope
cours de microscope
 
DDoS Attacks in 2017: Beyond Packet Filtering
DDoS Attacks in 2017: Beyond Packet FilteringDDoS Attacks in 2017: Beyond Packet Filtering
DDoS Attacks in 2017: Beyond Packet Filtering
 
DDoS attacks
DDoS attacksDDoS attacks
DDoS attacks
 
Audit Denial of Service (ddos)
Audit Denial of Service (ddos)Audit Denial of Service (ddos)
Audit Denial of Service (ddos)
 
10 Most Common DDo S Attacks
10 Most Common DDo S Attacks10 Most Common DDo S Attacks
10 Most Common DDo S Attacks
 
Deep Learning for Artificial Intelligence (AI)
Deep Learning for Artificial Intelligence (AI)Deep Learning for Artificial Intelligence (AI)
Deep Learning for Artificial Intelligence (AI)
 
06 03 route
06 03 route06 03 route
06 03 route
 
06 04 arp
06 04 arp06 04 arp
06 04 arp
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nom
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegarde
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
 

Similaire à 05 02 surveillance et analyse de traffic tcpip

05 03 dépannage réseau
05 03 dépannage réseau05 03 dépannage réseau
05 03 dépannage réseau
Noël
 
LPIC1 10 01 logs
LPIC1 10 01 logsLPIC1 10 01 logs
LPIC1 10 01 logs
Noël
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et nating
Noël
 
06 02 ip
06 02 ip06 02 ip
06 02 ip
Noël
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfaces
Noël
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
Noël
 
08 02 mise en place de serveurs virtuels apache 2
08 02 mise en place de serveurs virtuels apache 208 02 mise en place de serveurs virtuels apache 2
08 02 mise en place de serveurs virtuels apache 2
Noël
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
Noël
 
LPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeLPIC1 11 02 sécurité système
LPIC1 11 02 sécurité système
Noël
 
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdfCours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
bapapambaye4
 
LPIC1 07 02 procfs
LPIC1 07 02 procfsLPIC1 07 02 procfs
LPIC1 07 02 procfs
Noël
 
06 03 notification aux utilisateurs des problèmes système
06 03 notification aux utilisateurs des problèmes système06 03 notification aux utilisateurs des problèmes système
06 03 notification aux utilisateurs des problèmes système
Noël
 
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseriesBreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
Xavier MARIN
 
Apache kafka big data track
Apache kafka   big data trackApache kafka   big data track
Apache kafka big data track
Paris Open Source Summit
 
Apache Kafka, Un système distribué de messagerie hautement performant
Apache Kafka, Un système distribué de messagerie hautement performantApache Kafka, Un système distribué de messagerie hautement performant
Apache Kafka, Un système distribué de messagerie hautement performant
ALTIC Altic
 
Corrige tp3 m3102_dut2
Corrige tp3 m3102_dut2Corrige tp3 m3102_dut2
Corrige tp3 m3102_dut2
Youssef Rvd
 
Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpn
Yaya N'Tyeni Sanogo
 
06 01 construction et installation de programmes à partir du code source
06 01 construction et installation de programmes à partir du code source06 01 construction et installation de programmes à partir du code source
06 01 construction et installation de programmes à partir du code source
Noël
 
10 03 clients ldap
10 03 clients ldap10 03 clients ldap
10 03 clients ldap
Noël
 

Similaire à 05 02 surveillance et analyse de traffic tcpip (20)

05 03 dépannage réseau
05 03 dépannage réseau05 03 dépannage réseau
05 03 dépannage réseau
 
LPIC1 10 01 logs
LPIC1 10 01 logsLPIC1 10 01 logs
LPIC1 10 01 logs
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et nating
 
06 02 ip
06 02 ip06 02 ip
06 02 ip
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfaces
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
 
08 02 mise en place de serveurs virtuels apache 2
08 02 mise en place de serveurs virtuels apache 208 02 mise en place de serveurs virtuels apache 2
08 02 mise en place de serveurs virtuels apache 2
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
 
LPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeLPIC1 11 02 sécurité système
LPIC1 11 02 sécurité système
 
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdfCours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
Cours6-AdressageIPtgths2wjioy5gvi86tjk.pdf
 
13
1313
13
 
LPIC1 07 02 procfs
LPIC1 07 02 procfsLPIC1 07 02 procfs
LPIC1 07 02 procfs
 
06 03 notification aux utilisateurs des problèmes système
06 03 notification aux utilisateurs des problèmes système06 03 notification aux utilisateurs des problèmes système
06 03 notification aux utilisateurs des problèmes système
 
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseriesBreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
 
Apache kafka big data track
Apache kafka   big data trackApache kafka   big data track
Apache kafka big data track
 
Apache Kafka, Un système distribué de messagerie hautement performant
Apache Kafka, Un système distribué de messagerie hautement performantApache Kafka, Un système distribué de messagerie hautement performant
Apache Kafka, Un système distribué de messagerie hautement performant
 
Corrige tp3 m3102_dut2
Corrige tp3 m3102_dut2Corrige tp3 m3102_dut2
Corrige tp3 m3102_dut2
 
Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpn
 
06 01 construction et installation de programmes à partir du code source
06 01 construction et installation de programmes à partir du code source06 01 construction et installation de programmes à partir du code source
06 01 construction et installation de programmes à partir du code source
 
10 03 clients ldap
10 03 clients ldap10 03 clients ldap
10 03 clients ldap
 

Plus de Noël

LPIC1 10 04 anacron
LPIC1 10 04 anacronLPIC1 10 04 anacron
LPIC1 10 04 anacron
Noël
 
LPIC1 10 05 at
LPIC1 10 05 atLPIC1 10 05 at
LPIC1 10 05 at
Noël
 
LPIC1 10 03 cron
LPIC1 10 03 cronLPIC1 10 03 cron
LPIC1 10 03 cron
Noël
 
LPIC1 10 02 temps
LPIC1 10 02 tempsLPIC1 10 02 temps
LPIC1 10 02 temps
Noël
 
LPIC1 09 06 kill
LPIC1 09 06 killLPIC1 09 06 kill
LPIC1 09 06 kill
Noël
 
LPIC1 09 05 priorités
LPIC1 09 05 prioritésLPIC1 09 05 priorités
LPIC1 09 05 priorités
Noël
 
LPIC1 09 04 bg fg
LPIC1 09 04 bg fgLPIC1 09 04 bg fg
LPIC1 09 04 bg fg
Noël
 
LPIC1 09 03 top
LPIC1 09 03 topLPIC1 09 03 top
LPIC1 09 03 top
Noël
 
LPIC1 09 02 ps
LPIC1 09 02 psLPIC1 09 02 ps
LPIC1 09 02 ps
Noël
 
LPIC1 09 01 intro
LPIC1 09 01 introLPIC1 09 01 intro
LPIC1 09 01 intro
Noël
 
LPIC1 08 05 runlevels
LPIC1 08 05 runlevelsLPIC1 08 05 runlevels
LPIC1 08 05 runlevels
Noël
 
LPIC1 08 03 grub2
LPIC1 08 03 grub2LPIC1 08 03 grub2
LPIC1 08 03 grub2
Noël
 
LPIC1 08 02 grub legacy
LPIC1 08 02 grub legacyLPIC1 08 02 grub legacy
LPIC1 08 02 grub legacy
Noël
 
LPIC1 08 01 démarrage
LPIC1 08 01 démarrageLPIC1 08 01 démarrage
LPIC1 08 01 démarrage
Noël
 
LPIC1 07 14 mount
LPIC1 07 14 mountLPIC1 07 14 mount
LPIC1 07 14 mount
Noël
 
LPIC1 07 13 fsck
LPIC1 07 13 fsckLPIC1 07 13 fsck
LPIC1 07 13 fsck
Noël
 
LPIC1 07 18 debugfs
LPIC1 07 18 debugfsLPIC1 07 18 debugfs
LPIC1 07 18 debugfs
Noël
 
LPIC1 07 17 tune2fs
LPIC1 07 17 tune2fsLPIC1 07 17 tune2fs
LPIC1 07 17 tune2fs
Noël
 
LPIC1 07 16 dumpe2fs
LPIC1 07 16 dumpe2fsLPIC1 07 16 dumpe2fs
LPIC1 07 16 dumpe2fs
Noël
 
LPIC1 07 12 formatage
LPIC1 07 12 formatageLPIC1 07 12 formatage
LPIC1 07 12 formatage
Noël
 

Plus de Noël (20)

LPIC1 10 04 anacron
LPIC1 10 04 anacronLPIC1 10 04 anacron
LPIC1 10 04 anacron
 
LPIC1 10 05 at
LPIC1 10 05 atLPIC1 10 05 at
LPIC1 10 05 at
 
LPIC1 10 03 cron
LPIC1 10 03 cronLPIC1 10 03 cron
LPIC1 10 03 cron
 
LPIC1 10 02 temps
LPIC1 10 02 tempsLPIC1 10 02 temps
LPIC1 10 02 temps
 
LPIC1 09 06 kill
LPIC1 09 06 killLPIC1 09 06 kill
LPIC1 09 06 kill
 
LPIC1 09 05 priorités
LPIC1 09 05 prioritésLPIC1 09 05 priorités
LPIC1 09 05 priorités
 
LPIC1 09 04 bg fg
LPIC1 09 04 bg fgLPIC1 09 04 bg fg
LPIC1 09 04 bg fg
 
LPIC1 09 03 top
LPIC1 09 03 topLPIC1 09 03 top
LPIC1 09 03 top
 
LPIC1 09 02 ps
LPIC1 09 02 psLPIC1 09 02 ps
LPIC1 09 02 ps
 
LPIC1 09 01 intro
LPIC1 09 01 introLPIC1 09 01 intro
LPIC1 09 01 intro
 
LPIC1 08 05 runlevels
LPIC1 08 05 runlevelsLPIC1 08 05 runlevels
LPIC1 08 05 runlevels
 
LPIC1 08 03 grub2
LPIC1 08 03 grub2LPIC1 08 03 grub2
LPIC1 08 03 grub2
 
LPIC1 08 02 grub legacy
LPIC1 08 02 grub legacyLPIC1 08 02 grub legacy
LPIC1 08 02 grub legacy
 
LPIC1 08 01 démarrage
LPIC1 08 01 démarrageLPIC1 08 01 démarrage
LPIC1 08 01 démarrage
 
LPIC1 07 14 mount
LPIC1 07 14 mountLPIC1 07 14 mount
LPIC1 07 14 mount
 
LPIC1 07 13 fsck
LPIC1 07 13 fsckLPIC1 07 13 fsck
LPIC1 07 13 fsck
 
LPIC1 07 18 debugfs
LPIC1 07 18 debugfsLPIC1 07 18 debugfs
LPIC1 07 18 debugfs
 
LPIC1 07 17 tune2fs
LPIC1 07 17 tune2fsLPIC1 07 17 tune2fs
LPIC1 07 17 tune2fs
 
LPIC1 07 16 dumpe2fs
LPIC1 07 16 dumpe2fsLPIC1 07 16 dumpe2fs
LPIC1 07 16 dumpe2fs
 
LPIC1 07 12 formatage
LPIC1 07 12 formatageLPIC1 07 12 formatage
LPIC1 07 12 formatage
 

05 02 surveillance et analyse de traffic tcpip

  • 1. Linux LPIC2 noelmace.com Noël Macé Formateur et Consultant indépendant expert Unix et FOSS http://www.noelmace.com Surveillance et analyse de traffic TCP/IP Configuration Réseau Licence Creative Commons Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France.
  • 2. Linux LPIC2 noelmace.com Plan • netcat • netcat : options générales • Scanner de ports avec netcat • Netcat client / serveur • Netstat • Analyse de paquets avec Tcpdump • Analyse de paquets avec Wireshark • nmap : scanner de ports et plus
  • 3. Linux LPIC2 noelmace.com netcat • Le couteau suisse du TCP/IP  gestion des sockets (peu établir n'importe quelle connexion)  s'utilise aussi bien en tant que client que serveur  scriptable  multiplateforme (disponible sous Windows et Mac OS X)  nombreux usages • capture de bannière • scan de ports • etc ... $ nc [ options ] [ hostname ] [ ports ]$ nc [ options ] [ hostname ] [ ports ]
  • 4. Linux LPIC2 noelmace.com netcat : options générales • Options :  -u : passer en mode UDP  -i int : effectuer l'opération suivant un intervalle de int secondes  -v : verbose • -vv pour plus d'informations  -x adresse[:port] : connexion via un proxy $ nc [ options ] [ hostname ] [ ports ]$ nc [ options ] [ hostname ] [ ports ]
  • 5. Linux LPIC2 noelmace.com Scanner de ports avec netcat • Scanner des ports 100 à 1, puis 443  -r pour scanner aléatoirement (plus discret)  par défaut, se stoppe dés qu'il trouve un port ouvert, et attend une E/S • -z pour passer en mode zero I/O • Exemple $ nc -vv 127.0.0.1 1-100 443$ nc -vv 127.0.0.1 1-100 443 $ nc -vv -i 3 -r -z 127.0.0.1 21 23 80-160 1337$ nc -vv -i 3 -r -z 127.0.0.1 21 23 80-160 1337
  • 6. Linux LPIC2 noelmace.com Netcat client / serveur • ouvrir netcat en mode listening (serveur) sur le port 1337  -k pour continuer à écouter après réception d'une connection • se connecter au serveur (coté client) • Exemple : transfert de fichiers  serveur  client $ nc -l -p 1337$ nc -l -p 1337 $ nc monserveur 1337$ nc monserveur 1337 $ cat file.tar.gz | nc -l 1337$ cat file.tar.gz | nc -l 1337 $ nc monserveur 1337 > file.tar.gz$ nc monserveur 1337 > file.tar.gz
  • 7. Linux LPIC2 noelmace.com Netstat • Afficher un grand nombre d'informations  connections  tables de routage  statistiques sur les interfaces  connexions masquées  messages netlink  multicasts • Considéré comme obsolète  remplacé par ss et ip $ netstat [options]$ netstat [options]
  • 8. Linux LPIC2 noelmace.com Netstat • Options  aucune : lister les sockets ouverts  -a : Affiche toutes les connexions TCP actives et les ports TCP et UDP sur lesquels l'ordinateur écoute  -i iface / --interface=iface : afficher les informations sur une interface • similaire à ifconfig ou ip -s link  -r / --route : afficher les tables de routage noyau • similaire à ip route  --masquerade / -M : afficher les informations relatives aux connections masquées • fonctionnalité NAT de Linux • réseaux "cachés" derrière une unique adresse IP  -p / --programs : afficher le nom et le PID des processus propriétaires de chaque socket $ netstat [options]$ netstat [options]
  • 9. Linux LPIC2 noelmace.com Analyse de paquets avec Tcpdump • obtenir les détails sur le trafic visible depuis une interface  une ligne par paquet • date protocole source:port > destination:port : informations • Exemple # tcpdump [options] [-i interface] [pcap-filter expression]# tcpdump [options] [-i interface] [pcap-filter expression] # tcpdump -i eth1 host 8.8.8.8 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 11:48:56.922382 IP debian.local > google-public-dns-a.google.com: ICMP echo request, id 2933, seq 1, length 64 11:48:57.053722 IP google-public-dns-a.google.com > debian.local: ICMP echo reply, id 2933, seq 1, length 64 11:48:57.922897 IP debian.local > google-public-dns-a.google.com: ICMP echo request, id 2933, seq 2, length 64 11:48:57.989884 IP google-public-dns-a.google.com > debian.local: ICMP echo reply, id 2933, seq 2, length 64 # tcpdump -i eth1 host 8.8.8.8 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 11:48:56.922382 IP debian.local > google-public-dns-a.google.com: ICMP echo request, id 2933, seq 1, length 64 11:48:57.053722 IP google-public-dns-a.google.com > debian.local: ICMP echo reply, id 2933, seq 1, length 64 11:48:57.922897 IP debian.local > google-public-dns-a.google.com: ICMP echo request, id 2933, seq 2, length 64 11:48:57.989884 IP google-public-dns-a.google.com > debian.local: ICMP echo reply, id 2933, seq 2, length 64
  • 10. Linux LPIC2 noelmace.com Analyse de paquets avec Wireshark • Anciennement dénommé Ethereal (avant mai 2006) • Disponible sur les systèmes Unix et Windows • Né en 1998, grâce à Gerald Combs • Deux solutions :  GUI  ligne de commande : TShark # tshark [-i interface] [pcap-filter expression]# tshark [-i interface] [pcap-filter expression]
  • 11. Linux LPIC2 noelmace.com nmap : scanner de ports et plus • TCP connect scan • UDP scan • identification des machines d'un réseau • identifier l'OS d'une machine # nmap -sT hostname# nmap -sT hostname # nmap -sU hostname# nmap -sU hostname # nmap -sP <cible># nmap -sP <cible> # nmap -O --osscan-guess 127.0.0.1# nmap -O --osscan-guess 127.0.0.1
  • 12. Linux LPIC2 noelmace.com Ce qu’on a couvert • netcat • netstat • tcpdump • wireshark • nmap Weight : 4 Description : Candidates should be able to configure a network device to implement various network authentication schemes. This objective includes configuring a multi-homed network device, configuring a VPN client and resolving communication problems. 205.2 Advanced Network Configuration and Troubleshooting (Part 2)
  • 13. Linux LPIC2 noelmace.com Licence Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou écrivez à : Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA. Vous êtes libre de :  partager — reproduire, distribuer et communiquer cette œuvre  remixer — adapter l’œuvre Selon les conditions suivantes :  Attribution — Vous devez clairement indiquer que ce document, ou tout document dérivé de celui, est (issu de) l’œuvre originale de Noël Macé (noelmace.com) (sans suggérer qu'il vous approuve, vous ou votre utilisation de l’œuvre, à moins d'en demander expressément la permission).  Pas d’Utilisation Commerciale — Vous n’avez pas le droit d’utiliser cette œuvre à des fins commerciales (ie. l'intention première ou l'objectif d'obtenir un avantage commercial ou une compensation financière privée). Pour obtenir ce droit, une autorisation explicite de l'auteur est requise.  Partage dans les Mêmes Conditions — Si vous modifiez, transformez ou adaptez cette œuvre, vous n’avez le droit de distribuer votre création que sous une licence identique ou similaire à celle-ci. Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un dérivé de celui-ci sous une licence incompatible, contacter l'auteur via les contacts indiqués sur le site http://www.noelmace.com. Vous êtes par ailleurs vivement encouragé (sans obligation légale) à communiquer avec celui-ci si vous réalisez une œuvre dérivée ou toute amélioration de ce support.