etude de l'outil d'administration réseau tcpdump

Click here to load reader

Post on 23-Feb-2018

217 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    1/14

    Universit de Lom

    Centre Informatique et de Calcul

    harg du cours:Dr-IngVenantPALANGA

    Par

    : FANYOMarilyn

    GARA-IDRISSOUAbdoul-Rachidou

    Semestre 6 / 2014 2015

    Etude de loutil dadministration:

    TCPDUMP

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    2/14

    Etude de loutil dadministration TCPDUMP

    1

    Table des matires

    I. Introduction ............................................................................................................................ 2

    II. Prsentation............................................................................................................................ 2

    Dans quels cas utiliser Tcpdump ? ......................................................................................... 3

    III. Historique ............................................................................................................................... 3

    IV. Fonctionnement ..................................................................................................................... 4

    1.

    Tlchargement et installation ........................................................................................ 4

    2. Utilisation ........................................................................................................................ 5

    V. Conclusion ............................................................................................................................ 12

    Rfrences.................................................................................................................................... 13

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    3/14

    Etude de loutil dadministration TCPDUMP

    2

    I.

    Introduction

    LesterminauxpourcommuniquerdansunrseauTCP/IPralisentleurschanges

    dinformationsenmettantcelles-cisousuneformeparticulire,les paquetsqui

    transitentduneinterfaceuneautreetce,quellequesoitlenverguredurseau.

    Ilestsouventutiledesfinsscuritairesoudediagnostic,deprendreconnaissancede

    maniredtaille,dutraficdinformationsengagdansunrseau.Cestdanscette

    optiquequedenombreuxoutilsdecaptureetdanalysedestraficsrseauonttmis

    enplaceaunombredesquelsnotresujetdtude:TCPDUMP.

    II.

    Prsentation

    SelonWikipdia,"Tcpdumpestunanalyseurdepaquetsenlignedecommande.Il

    permetd'obtenirledtaildutraficvisibledepuisuneinterfacerseau".

    Daprslesconcepteurs,"Tcpdumpestunpuissantanalyseurdepaquetsenlignede

    commande".

    Enclair,ilsagitdunsniffer,outilpermettantderenifleroudcouterlerseau,de

    capturertoutoupartiedesfluxtransitantautraversduneouplusieursinterfacesdune

    machine,delaffichersousformeden-ttesdepaquets,etdanalyserlesinformations

    obtenueslaidedesdiffrentesoptionsdelacommande.

    Endautrestermes,ilpermetsonutilisateurdintercepteretdafficherdespaquetsde

    toustypes(TCP/IPetautres),quisonttransmisetreussurunrseauauquel

    lordinateurestconnect.

    Cetoutilestdisponiblesouslaformedunecommandeutiliserdansuneinvitede

    commandes.

    Pourlacapture,ilestbassurLibpcap,unebibliothqueC/C++dveloppeparles

    concepteursdusniffer,cequiluipermetdtrecompatibleavecdautresanalyseurs

    rseauxquiutilisentlammebibliothquelinstardeWireshark.Onparledonc

    souventdeTcpdump/Libpcap.Disponiblesousdiversesplateformes(GNU/Linux,

    FreeBSD,NetBSD,OpenBSDetMacOSX),leurportagesousWindowsestconnu

    souslesappellationsWinPCAP/WinDUMP.

    NotretudeporterasursonutilisationsousunedistributionLinux.

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    4/14

    Etude de loutil dadministration TCPDUMP

    3

    Dans quels cas utiliser Tcpdump ?

    Lanalyserseauestsouventutilisedansladministrationsystmedesfins

    dapprentissageetgalementdediagnostic.AvecunoutiltelqueTcpdumplon

    possdeunevueexactesurcequitransitevialerseau.

    LavantagedeTcpdumpestquilsutiliseenlignedecommande,cequilerendplus

    simpledutilisationsurdesserveursdpourvusdinterfacegraphiquesurlesquelson

    souhaiteeffectuerdescapturesdetramesetdesanalysesrseau.

    Tcpdumpestfrquemmentutilispourdboguerdesapplicationsquignrentou

    reoiventdutraficrseau.

    Ilpeutaussitreutilepourdboguerlesconfigurationsrseauenelles-mmesen

    dterminantsitoutleroutagencessairesedroulecorrectement,permettantladministrateurdisolerparlasuitelasourcedesproblmes.

    IlestaussipossibledutiliserTcpdumpdanslebutspcifiquedintercepteretdafficher

    lescommunicationsdunautreutilisateurouterminal.

    Atitredexemplesilpourratreutilisparunadministrateurdansunrseaulocal

    dentrepriseafindeprendreconnaissancedestraficssedroulantsurdiffrents

    terminauxtellesquunemachinelocale,unepasserelle,unserveur,afindepouvoir

    dterminerlesventuelsrisquesdescurit.

    Grcelanalysereporte,loutilpermettragalementdeprendreconnaissancedes

    activitsantrieuresdusystmeentier(rseaulocal)desfinsdedbogage.

    .

    III. Historique

    TcpdumpetLibpcapsontdveloppsen1987auLaboratoirenationalLawrence-Berkeleyauxtats-UnisparVanJacobson,StevenMcCanneetCraigLeres,lecrateur

    d'arpwatch.Verslafindesannes1990,Tcpdumpestdistribudansdenombreux

    systmescequinefavorisaitgurel'applicationdecorrectifs.MichaelRichardsonet

    BillFennercrentunsiteofficielen1999pourrpondrecemanquedecoordination

    etdeviennentalorslesmainteneursduprojet.

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    5/14

    Etude de loutil dadministration TCPDUMP

    4

    Depuissamiseenroute,TcpdumpetLibpcapnecessentd'volueretdiffrentes

    versionssesontsuccdes.Acejour,nousensommeslaversion4.7.4deTcpdump

    etlaversion1.7.3deLibpcap,parusle22Avril2015.

    IV. Fonctionnement

    1.

    Tlchargement et installation

    TcpdumpestnativementinstallsouscertainesdistributionsdeLinuxtellesUbuntu.

    Maissinon,soninstallationsefaittrssimplementenlignedecommande:

    DistributionRedHat

    DistributionDebian

    Onpeutaussilinstallerpartirdessources:

    Installationpralabledeflexetbison

    # apt-get install flex bison

    InstallationpralabledeLibpcap1.7.3

    # apt-get install libpcap1.7.3

    InstallationdeTcpdump4.7.4

    # cd /usr/local/src

    # wget http://www.tcpdump.org/release/tcpdump-4.7.4.tar.gz

    # tar xzvf tcpdump-4.7.4.tar.gz

    # cd tcpdump-4.7.4

    http://www.tcpdump.org/release/tcpdump-4.7.4.tar.gzhttp://www.tcpdump.org/release/tcpdump-4.7.4.tar.gz
  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    6/14

    Etude de loutil dadministration TCPDUMP

    5

    # ./configure

    # make && make install

    2.

    Utilisation

    Tcpdumpselanceenrootcarilabesoindedroitsdaccsncessairespourpasservos

    interfacesrseauenpromiscuousmode:linterfacevaaccepteretanalysertousles

    paquetsIP,mmeceuxquineluisontpasdestins,cequincessitecertainsprivilges.

    Aummetitrequed'autrescommandes,Tcpdumppeuttreaccompagnede

    paramtrespourutilisercertainesfonctionsparticulires.Parmilespluscourantes,on

    retrouve:

    -v laverbosit;permetd'afficherdesinformationsdtailles

    surlespaquets.Ondistingue3niveauxdeverbositetle

    nombredevutilisscorrespondauniveaudeverbosit.

    -D afficherlesinterfacesrseauxdisponiblespourlacapture

    -p

    empcheTCPDUMPdepasserenmode"promiscuous"etainsin'autorisequel'analysedespaquetsquitransitentpar

    l'interface.Celapeutpermettred'chapperauxoutilsde

    dtectiondesniffermaisfaitperdregalementunebonne

    partiedutrafic.

    -n permettradenepasconvertirlesadressesetlesnumros

    deportenleursnoms

    -X -x affichelesdonnesdepaquetsenASCIIetenhexadcimal.

    Ilestutilepourl'analysedeprotocolesbasssurletexte

    (HTTP,POP3,)

    -s taille_de_la_capture c'estlataillemaximaled'unpaquetcaptur.Au-del,le

    paquetesttronqu.Pardfautseulsles68premiersoctets

    sontcapturs.Pourrcuprerunpaquetdanssonentiret,

    ilfautspcifierunetaillenulle:-s 0

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    7/14

    Etude de loutil dadministration TCPDUMP

    6

    -c nombre_de_paquets permetdespcifierlenombredepaquetscapturer.Par

    dfautTcpdumpcontinuelacaptureindfinimentmoins

    quonnelarrteaveclacombinaisondetouchesCtrl+C

    -i

    permetdechoisirl'interfaced'coute.Pourcoutertoutes

    lesinterfacesilfaututiliserl'optionanyaprs-i

    Fig1.ExemplesdoptionsutilisablesavecTcpdump

    Unemultitudedautresoptionssontdisponiblesetleurusagepeuttreconnugrceau

    manueldelacommandeaccessiblevialacommandeman Tcpdump.

    a) Particularit : les fichiers pcap

    Ilfautreconnatrequelutilisationdunsnifferenlignedecommandeapour

    inconvnientunedifficultdexploitationetdelecturedesrsultatsdequantit

    importante.Tcpdumpoffrealorslapossibilitdenregistrerlesrsultatsdansdes

    fichiersauformatpcappouruneanalyseultrieure.Ceciestpratiquedanslecaspar

    exempleoonlaissetournerlacommandependantplusieursheuresouquelonanalyseunegrandequantitdepaquets.

    Pourenregistrerletraficcapturdansunfichierilfautrajouterloptionw(pour

    write)puislenomdufichieraveclextension.pcap,etcecilafindelacommande.

    Puispourlirelecontenudunfichier.pcap,onutilisesimplementloptionr(pour

    read)accompagndunomdufichieretdelextension.Dufaitdelacompatibilitavec

    Wireshark,ilestpossibledelirelesfichiers.pcapaveccetoutilinterfacegraphique.

    DautresoptionspluttpratiquessontprsentesdansTcpdump,siloneffectueune

    analyserseaudeplusieursheuresvoireplusieursjourscommecestlecaslorsde

    lenregistrementpermanantdecertainstraficsrseau.

    Ilpeuttreutiledesparernosfichiersenfonctiondunevaleurtemporelleou

    unevaleurdetaille.CelaestpossiblevialesoptionsGetC.LoptionGpermetde

    crerunnouveaufichierau-deldunecertainepriodedonne.

    Onpeutgalementyajouterunhorodatagestrftimequiestsimplementlafaondont

    nosfichiersvonttredynamiquementnomms.Parexemplesionsouhaiteaucours

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    8/14

    Etude de loutil dadministration TCPDUMP

    7

    dunecapturerseauavoirunfichierparpriodeduneminute,onutiliserala

    commandesuivante:

    Ici, Hseraremplacparlheuredecrationdunouveaufichier, Mparlaminute

    et Sparlaseconde.Ainsi,chaquenouveaufichiercr(auboutde60secondes)

    neffacerapasleprcdent,cequiestlecassionnespcifiepasdhorodatagestrftime.

    Aprsavoirlaisscettecommandetournerquelquesminutes,voicilesfichierspcapque

    lonpourratrouver:

    Fig2.Capturedesfichierscresparhorodatage

    Onremarquedanscettecapturelechangementdenomsenfonctiondesminutes.

    Nouspouvonsgalementagirenfonctiondelatailledufichiercaptur

    etnonenfonctiondundlaifix.Pourcela,ilfaututiliserloption-C,onspcifiera

    ensuitelatailleenmilliondoctets(onparleicidunmilliontoutrond,pasunmillion

    ausensoctal).Ici1000000doctetsestgal1Mo.Sinoussouhaitonsparexemple

    avoirdesfichiers.pcapde2Mochacunlorsdunecapturecontinue:

    Voillesdiffrentsfichiers.pcapquelonpourraalorsavoir:

    Fig3.Capturedesfichierscresparfixationdelataille

    Onvoitdoncquelesfichierssontnommscommeindiqusuividunnumro

    incrment.

    http://www.it-connect.fr/wp-content-itc/uploads/2014/11/tcpdump-pcap-fichier-02.png
  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    9/14

    Etude de loutil dadministration TCPDUMP

    8

    b) Les rgles

    Ilestpossibledeslectionnerlespaquets"couter"enfonctiond'expressions.Ainsi,

    neserontaffiches/traitesquelesinformationspourlesquelleslersultatde

    l'expressionestvrifi.

    Unergleestunecompositiondeplusieursprimitivesliespardesoprateurslogiques

    (and, or, not...)

    Uneprimitiveestunidentifiantprcddemotsclsquiindiquentletypede

    l'identifiant.Parexemplelaprimitivesrcport21contientleslmentssuivants:

    lemotclsrcquiindiquequel'identifiantneportequesurlasourcedupaquet

    lemotclportquiindiquequel'identifiantestleportdupaquet l'identifiant21

    Laprimitivecorresponddoncauportsource21.

    Delammemanire,laprimitiveethersrc00:11:22:33:44:55indiquel'adresseEthernet

    (ouMAC)source00:11:22:33:44:55.

    Lesprimitiveslespluscourantessontlessuivantes:

    src l'adressesourceest

    dst l'adressedestinationest

    host l'adressesourceoudestinationest

    port leportsourceoudestinationest

    srcport leportsourceest

    dstport leportdestinationest

    portrange- leportestcomprisentreet.

    Fig4.PrimitivescourantesdeTcpdump

    Lesprimitivespeuventtrereliesaveclesoprateurslogiquesand,oretnot.

    Onpeutgalementprciserleprotocole.

    Quelquesexemples:

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    10/14

    Etude de loutil dadministration TCPDUMP

    9

    tcpdumpiwlan0c20src192.168.0.1

    Ondemandeicilacapturede20paquetspartirdurseauauquelestconnect

    linterfacewlan0maisaveclaspcificationquelesseulspaquetsaffichssont

    ceuxenprovenancede192.168.0.1

    tcpdump-ieth0dstport25

    Onpourragalementisolerlasourceouladestination.Icionnesouhaite

    capturerquelesenvoisdemails(port25endestination)

    tcpdump-ieth0srcnet192.168

    Capturertouteslesconnexions,quiontpoursourceuneadresseIPcommenantpar192.168

    tcpdump-ieth0src192.168.0.175anddst192.168.0.1andport80andtcp

    Capturertouteslesconnexionsrseauxquivontdel'adresseIP192.168.0.175

    versl'adresse192.168.0.1,utilisantleprotocoleTCPetleport80

    tcpdumpsrc192.168.100.1anddst192.168.1.6andportftp

    AffichagedespaquetsFTPvenantde192.168.100.1etallantvers192.168.1.6

    tcpdump-x-X-s0src192.168.0.1anddst212.208.225.1andport53andudp

    Voiciunelignecompltequinelaissepasserquelespaquetsenprovenancede

    192.168.0.1vers212.208.225.1,surleport53enudp.Affichageducontenudes

    paquetsauformathexadcimaletascii(-x-X)etce,quellequesoitleurtaille(-s

    0).

    LutilisationdeTcpdumppeutgalementtrejugemalveillante,commelemontrecetexemple:

    CapturerunmotdepasseFTP:

    tcpdumpAOnlancecettecommandesurunemachinesurlaquelleesten

    coursunesessionFTP.Lersultatestlesuivant:

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    11/14

    Etude de loutil dadministration TCPDUMP

    10

    Fig5.CapturedunesessionFTP

    Onpeutobserverdanscettesectioncapture,lelogin(teddybear)etlemotdepasse

    (wakeup).Onpourraitgalementintercepterdesemailsenvoyssurunrseau,desconversations

    etdautresinformationssensibles.

    Ilestdoncprimordiald'utiliserdesconnexionsscurises(https,ftps,ssh,smtps...)

    lorsquel'onestsurInternet,afinderendrelesinformationssensibles,illisiblesviace

    procd.Ilfautgalementseprotgerlaidedunparefeuquipourradtecteret

    intercepterlestentativesmalveillantesdecapturedutrafic.

    c) Format de la sortie

    Lasortieestdpendanteduprotocoleutilis.Voiciunedescriptionsommaireetdes

    exemplesserapportantauxprotocolesARPetTCP

    Paquets RP

    Lasortiepourcetypedepaquetsseveuttrssimpleinterprter.Lapremireligne

    indiquequelhtealphametunerequteARPpourconnatreladresseMACdelhtepossdantladresseIPbeta.Celuiquipossdebetarpondalpha.

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    12/14

    Etude de loutil dadministration TCPDUMP

    11

    PuisbetaenvoieunerponsedirectealphapourluispcifiersonadresseMACbeta

    [email protected]_beta.

    Avecloptionn,onpeutmieuxvisualiserlersultatavecdesadressesnumriquessi

    cellescisontremplacspardesnomsdhtes.Mieuxencoreavecloptione,deplus

    amplesdtailssontaffichs.

    Fig6.SortiepourdespaquetsARP

    Paquets TCP

    Fig7.SortiecourantepourdespaquetsTCP

    Leformatcourantdelasortieest:

    Lheure(1)

    Letypedeprotocole(iciIP)(2)

    LIPsource.port_source>IPdestination.port_destination(3)

    LesflagsTCP;onverraapparatrelessymbolessuivantspourunflag

    positionn:(4)

    o S(SYN)

    o F(FIN)

    o P(PUSH)

    o R(TST)

    o

    W(ECNCWR)

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    13/14

  • 7/24/2019 Etude de l'Outil d'Administration Rseau TCPDUMP

    14/14

    Etude de loutil dadministration TCPDUMP

    Rfrences

    http://www.wikipdia.com

    ManueldelacommandesousUbuntu

    http://www.it-connnect.fr

    http://www.tcpdump.org

    http://www.lea-linux.org

    http://www.openmaniak.com

    http://www.xn--wikipdia-f1a.com/http://www.it-connnect.fr/http://www.tcpdump.org/http://www.tcpdump.org/http://www.lea-linux.org/http://www.lea-linux.org/http://www.openmaniak.com/http://www.openmaniak.com/http://www.openmaniak.com/http://www.lea-linux.org/http://www.tcpdump.org/http://www.it-connnect.fr/http://www.xn--wikipdia-f1a.com/