View
232
Download
0
Category
Preview:
Citation preview
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 1/14
Université de Lomé
Centre Informatique et de Calcul
hargé du cours:Dr-IngVenantPALANGA
Par
: FANYOMarilyn
GARA-IDRISSOUAbdoul-Rachidou
Semestre 6 / 2014 2015
Etude de l’outil d’administration:
TCPDUMP
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 2/14
Etude de l’outil d’administration TCPDUMP
1
Table des matières
I. Introduction ............................................................................................................................ 2
II. Présentation ............................................................................................................................ 2
Dans quels cas utiliser Tcpdump ? ......................................................................................... 3
III. Historique ............................................................................................................................... 3
IV. Fonctionnement ..................................................................................................................... 4
1.
Téléchargement et installation ........................................................................................ 4
2. Utilisation ........................................................................................................................ 5
V. Conclusion ............................................................................................................................ 12
Références .................................................................................................................................... 13
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 3/14
Etude de l’outil d’administration TCPDUMP
2
I.
Introduction
LesterminauxpourcommuniquerdansunréseauTCP/IPréalisentleurséchanges
d’informationsenmettantcelles-cisousuneformeparticulière,les paquetsqui
transitentd’uneinterfaceàuneautreetce,quellequesoitl’envergureduréseau.
Ilestsouventutileàdesfinssécuritairesoudediagnostic,deprendreconnaissancede
manièredétaillée,dutraficd’informationsengagédansunréseau.C’estdanscette
optiquequedenombreuxoutilsdecaptureetd’analysedestraficsréseauontétémis
enplaceaunombredesquelsnotresujetd’étude:TCPDUMP.
II.
Présentation
SelonWikipédia,"Tcpdumpestunanalyseurdepaquetsenlignedecommande.Il
permetd'obtenirledétaildutraficvisibledepuisuneinterfaceréseau".
D’aprèslesconcepteurs,"Tcpdumpestunpuissantanalyseurdepaquetsenlignede
commande".
Enclair,ils’agitd’unsniffer,outilpermettantde«renifler»oud’écouterleréseau,de
capturertoutoupartiedesfluxtransitantautraversd’uneouplusieursinterfacesd’une
machine,del’affichersousformed’en-têtesdepaquets,etd’analyserlesinformations
obtenuesàl’aidedesdifférentesoptionsdelacommande.
End’autrestermes,ilpermetàsonutilisateurd’intercepteretd’afficherdespaquetsde
toustypes(TCP/IPetautres),quisonttransmisetreçussurunréseauauquel
l’ordinateurestconnecté.
Cetoutilestdisponiblesouslaformed’unecommandeàutiliserdansuneinvitede
commandes.
Pourlacapture,ilestbasésurLibpcap,unebibliothèqueC/C++développéeparles
concepteursdusniffer,cequiluipermetd’êtrecompatibleavecd’autresanalyseurs
réseauxquiutilisentlamêmebibliothèqueàl’instardeWireshark.Onparledonc
souventdeTcpdump/Libpcap.Disponiblesousdiversesplateformes(GNU/Linux,
FreeBSD,NetBSD,OpenBSDetMacOSX),leurportagesousWindowsestconnu
souslesappellationsWinPCAP/WinDUMP.
NotreétudeporterasursonutilisationsousunedistributionLinux.
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 4/14
Etude de l’outil d’administration TCPDUMP
3
Dans quels cas utiliser Tcpdump ?
L’analyseréseauestsouventutiliséedansl’administrationsystèmeàdesfins
d’apprentissageetégalementdediagnostic.AvecunoutiltelqueTcpdumpl’on
possèdeunevueexactesurcequitransite vialeréseau.
L’avantagedeTcpdumpestqu’ils’utiliseenlignedecommande,cequilerendplus
simpled’utilisationsurdesserveursdépourvusd’interfacegraphiquesurlesquelson
souhaiteeffectuerdescapturesdetramesetdesanalysesréseau.
Tcpdumpestfréquemmentutilisépourdéboguerdesapplicationsquigénèrentou
reçoiventdutraficréseau.
Ilpeutaussiêtreutilepourdéboguerlesconfigurationsréseauenelles-mêmesen
déterminantsitoutleroutagenécessairesedéroulecorrectement,permettantàl’administrateurd’isolerparlasuitelasourcedesproblèmes.
Ilestaussipossibled’utiliserTcpdumpdanslebutspécifiqued’intercepteretd’afficher
lescommunicationsd’unautreutilisateurouterminal.
Atitred’exemplesilpourraêtreutiliséparunadministrateurdansunréseaulocal
d’entrepriseafindeprendreconnaissancedestraficssedéroulantsurdifférents
terminauxtellesqu’unemachinelocale,unepasserelle,unserveur,afindepouvoir
déterminerleséventuelsrisquesdesécurité.
Grâceàl’analysereportée,l’outilpermettraégalementdeprendreconnaissancedes
activitésantérieuresdusystèmeentier(réseaulocal)àdesfinsdedébogage.
.
III. Historique
TcpdumpetLibpcapsontdéveloppésen1987auLaboratoirenationalLawrence-BerkeleyauxÉtats-UnisparVanJacobson ,StevenMcCanne etCraigLeres ,lecréateur
d'arpwatch.Verslafindesannées1990,Tcpdumpestdistribuédansdenombreux
systèmescequinefavorisaitguèrel'applicationdecorrectifs.MichaelRichardson et
BillFenner créentunsiteofficielen1999pourrépondreàcemanquedecoordination
etdeviennentalorslesmainteneursduprojet.
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 5/14
Etude de l’outil d’administration TCPDUMP
4
Depuissamiseenroute,TcpdumpetLibpcapnecessentd'évolueretdifférentes
versionssesontsuccédées.Acejour,nousensommesàlaversion4.7.4deTcpdump
etlaversion1.7.3deLibpcap,parusle22Avril2015.
IV. Fonctionnement
1.
Téléchargement et installation
TcpdumpestnativementinstallésouscertainesdistributionsdeLinuxtellesUbuntu.
Maissinon,soninstallationsefaittrèssimplementenlignedecommande:
DistributionRedHat
DistributionDebian
Onpeutaussil’installeràpartirdessources:
Installationpréalabledeflexetbison
# apt-get install flex bison
InstallationpréalabledeLibpcap1.7.3
# apt-get install libpcap1.7.3
InstallationdeTcpdump4.7.4
# cd /usr/local/src
# wget http://www.tcpdump.org/release/tcpdump-4.7.4.tar.gz
# tar xzvf tcpdump-4.7.4.tar.gz
# cd tcpdump-4.7.4
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 6/14
Etude de l’outil d’administration TCPDUMP
5
# ./configure
# make && make install
2.
Utilisation
Tcpdumpselanceenrootcarilabesoindedroitsd’accèsnécessairespourpasservos
interfacesréseauen« promiscuousmode »:l’interfacevaaccepteretanalysertousles
paquetsIP,mêmeceuxquineluisontpasdestinés,cequinécessitecertainsprivilèges.
Aumêmetitrequed'autrescommandes,Tcpdumppeutêtreaccompagnéede
paramètrespourutilisercertainesfonctionsparticulières.Parmilespluscourantes,on
retrouve:
-v laverbosité; permetd'afficherdesinformationsdétaillées
surlespaquets.Ondistingue3niveauxdeverbositéetle
nombredevutiliséscorrespondauniveaudeverbosité.
-D afficherlesinterfacesréseauxdisponiblespourlacapture
-p
empêcheTCPDUMPdepasserenmode" promiscuous "et
ainsin'autorisequel'analysedespaquetsquitransitentpar
l'interface.Celapeutpermettred'échapperauxoutilsde
détectiondesniffermaisfaitperdreégalementunebonne
partiedutrafic.
-n permettradenepasconvertirlesadressesetlesnuméros
deportenleursnoms
-X -x affichelesdonnéesdepaquetsenASCIIetenhexadécimal.
Ilestutilepourl'analysedeprotocolesbaséssurletexte
(HTTP,POP3,…)
-s taille_de_la_capture c'estlataillemaximaled'unpaquetcapturé.Au-delà,le
paquetesttronqué.Pardéfautseulsles68premiersoctets
sontcapturés.Pourrécupérerunpaquetdanssonentièreté,
ilfautspécifierunetaillenulle:-s 0
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 7/14
Etude de l’outil d’administration TCPDUMP
6
-c nombre_de_paquets permetdespécifierlenombredepaquetsàcapturer.Par
défautTcpdumpcontinuelacaptureindéfinimentàmoins
qu’onnel’arrêteaveclacombinaisondetouchesCtrl+C
-i
permetdechoisirl'interfaced'écoute.Pourécoutertoutes
lesinterfacesilfaututiliserl'optionanyaprès-i
Fig1.Exemplesd’optionsutilisablesavecTcpdump
Unemultituded’autresoptionssontdisponiblesetleurusagepeutêtreconnugrâceau
manueldelacommandeaccessiblevialacommandeman Tcpdump.
a) Particularité : les fichiers pcap
Ilfautreconnaîtrequel’utilisationd’unsnifferenlignedecommandeapour
inconvénientunedifficultéd’exploitationetdelecturedesrésultatsdequantité
importante.Tcpdumpoffrealorslapossibilitéd’enregistrerlesrésultatsdansdes
fichiersauformatpcappouruneanalyseultérieure.Ceciestpratiquedanslecaspar
exempleoùonlaissetournerlacommandependantplusieursheuresouquel’onanalyseunegrandequantitédepaquets.
Pourenregistrerletraficcapturédansunfichierilfautrajouterl’option–w(pour
‘write’)puislenomdufichieravecl’extension.pcap,etceciàlafindelacommande.
Puispourlirelecontenud’unfichier.pcap,onutilisesimplementl’option–r(pour
‘read’)accompagnédunomdufichieretdel’extension.Dufaitdelacompatibilitéavec
Wireshark,ilestpossibledelirelesfichiers.pcapaveccetoutilàinterfacegraphique.
D’autresoptionsplutôtpratiquessontprésentesdansTcpdump,sil’oneffectueune
analyseréseaudeplusieursheuresvoireplusieursjourscommec’estlecaslorsde
l’enregistrementpermanantdecertainstraficsréseau.
Ilpeutêtreutiledeséparernosfichiersenfonctiond’unevaleurtemporelleou
unevaleurdetaille.Celaestpossiblevialesoptions–Get–C.L’option–Gpermetde
créerunnouveaufichierau-delàd’unecertainepériodedonnée.
Onpeutégalementyajouterunhorodatagestrftimequiestsimplementlafaçondont
nosfichiersvontêtredynamiquementnommés.Parexemplesionsouhaiteaucours
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 8/14
Etude de l’outil d’administration TCPDUMP
7
d’unecaptureréseauavoirunfichierparpérioded’uneminute,onutiliserala
commandesuivante:
Ici, Hseraremplacéparl’heuredecréationdunouveaufichier, Mparlaminute
et Sparlaseconde.Ainsi,chaquenouveaufichiercréé(auboutde60secondes)
n’effacerapasleprécédent,cequiestlecassionnespécifiepasd’horodatagestrftime.
Aprèsavoirlaissécettecommandetournerquelquesminutes,voicilesfichierspcapque
l’onpourratrouver:
Fig2.Capturedesfichierscréesparhorodatage
Onremarquedanscettecapturelechangementdenomsenfonctiondesminutes .
Nouspouvonségalementagirenfonctiondelatailledufichiercapturé
etnonenfonctiond’undélaifixé.Pourcela,ilfaututiliserl’option-C,onspécifiera
ensuitelatailleenmilliond’octets(onparleicid’unmilliontoutrond,pasunmillion
ausens“octal”).Ici1000000d’octetsestégalà1Mo.Sinoussouhaitonsparexemple
avoirdesfichiers.pcapde2Mochacunlorsd’unecapturecontinue:
Voilàlesdifférentsfichiers.pcapquel’onpourraalorsavoir:
Fig3.Capturedesfichierscréesparfixationdelataille
Onvoitdoncquelesfichierssontnomméscommeindiquésuivid’unnuméro
incrémenté.
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 9/14
Etude de l’outil d’administration TCPDUMP
8
b) Les règles
Ilestpossibledesélectionnerlespaquetsà"écouter"enfonctiond'expressions.Ainsi,
neserontaffichées/traitéesquelesinformationspourlesquelleslerésultatde
l'expressionestvérifié.
Unerègleestunecompositiondeplusieursprimitivesliéespardesopérateurslogiques
(and, or, not...)
Uneprimitiveestunidentifiantprécédédemotsclésquiindiquentletypede
l'identifiant.Parexemplelaprimitivesrcport21contientlesélémentssuivants:
lemotclésrcquiindiquequel'identifiantneportequesurlasourcedupaquet
lemotcléportquiindiquequel'identifiantestleportdupaquet l'identifiant21
Laprimitivecorresponddoncauportsource21.
Delamêmemanière,laprimitiveethersrc00:11:22:33:44:55indiquel'adresseEthernet
(ouMAC)source00:11:22:33:44:55.
Lesprimitiveslespluscourantessontlessuivantes:
src<adresse> l'adressesourceest<adresse>
dst<adresse> l'adressedestinationest<adresse>
host<adresse> l'adressesourceoudestinationest<adresse>
port<port> leportsourceoudestinationest<port>
srcport<port> leportsourceest<port>
dstport<port> leportdestinationest<port>
portrange<port1>-<port2> leportestcomprisentre<port1>et<port2>.
Fig4.PrimitivescourantesdeTcpdump
Lesprimitivespeuventêtrereliéesaveclesopérateurslogiquesand,oretnot.
Onpeutégalementpréciserleprotocole.
Quelquesexemples:
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 10/14
Etude de l’outil d’administration TCPDUMP
9
tcpdump–iwlan0–c20src192.168.0.1
Ondemandeicilacapturede20paquetsàpartirduréseauauquelestconnecté
l’interfacewlan0maisaveclaspécificationquelesseulspaquetsaffichéssont
ceuxenprovenancede192.168.0.1
tcpdump-ieth0dstport25
Onpourraégalementisolerlasourceouladestination.Icionnesouhaite
capturerquelesenvoisdemails(port25endestination)
tcpdump-ieth0srcnet192.168
Capturertouteslesconnexions,quiontpoursourceuneadresseIPcommençantpar192.168
tcpdump-ieth0src192.168.0.175anddst192.168.0.1andport80andtcp
Capturertouteslesconnexionsréseauxquivontdel'adresseIP192.168.0.175
versl'adresse192.168.0.1,utilisantleprotocoleTCPetleport80
tcpdumpsrc192.168.100.1anddst192.168.1.6andportftp
AffichagedespaquetsFTPvenantde192.168.100.1etallantvers192.168.1.6
tcpdump-x-X-s0src192.168.0.1anddst212.208.225.1andport53andudp
Voiciunelignecomplètequinelaissepasserquelespaquetsenprovenancede
192.168.0.1vers212.208.225.1,surleport53enudp.Affichageducontenudes
paquetsauformathexadécimaletascii(-x-X)etce,quellequesoitleurtaille(-s
0).
L’utilisationdeTcpdumppeutégalementêtrejugéemalveillante,commelemontrecetexemple:
CapturerunmotdepasseFTP:
tcpdump– AOnlancecettecommandesurunemachinesurlaquelleesten
coursunesessionFTP.Lerésultatestlesuivant:
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 11/14
Etude de l’outil d’administration TCPDUMP
10
Fig5 .Captured’unesessionFTP
Onpeutobserverdanscettesectioncapturée,lelogin(teddybear )etlemotdepasse
(wakeup ).Onpourraitégalementintercepterdesemailsenvoyéssurunréseau,desconversations
etd’autresinformationssensibles.
Ilestdoncprimordiald'utiliserdesconnexionssécurisées(https,ftps,ssh,smtps...)
lorsquel'onestsurInternet,afinderendrelesinformationssensibles,illisiblesviace
procédé.Ilfautégalementseprotégeràl’aided’unpare–feuquipourradétecteret
intercepterlestentativesmalveillantesdecapturedutrafic.
c) Format de la sortie
Lasortieestdépendanteduprotocoleutilisé.Voiciunedescriptionsommaireetdes
exemplesserapportantauxprotocolesARPetTCP
Paquets RP
Lasortiepourcetypedepaquetsseveuttrèssimpleàinterpréter.Lapremièreligne
indiquequel’hôtealphaémetunerequêteARPpourconnaîtrel’adresseMACdel’hôtepossédantl’adresseIPbeta.«Celuiquipossèdebetarépondàalpha».
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 12/14
Etude de l’outil d’administration TCPDUMP
11
PuisbetaenvoieuneréponsedirecteàalphapourluispécifiersonadresseMAC«beta
setrouveà@mac_beta».
Avecl’option–n,onpeutmieuxvisualiserlerésultatavecdesadressesnumériquessi
celles–cisontremplacéspardesnomsd’hôtes.Mieuxencoreavecl’option–e,deplus
amplesdétailssontaffichés.
Fig6.SortiepourdespaquetsARP
Paquets TCP
Fig7.SortiecourantepourdespaquetsTCP
Leformatcourantdelasortieest:
L’heure(1)
Letypedeprotocole(iciIP)(2)
L’IPsource.port_source>IPdestination.port_destination(3)
LesflagsTCP;onverraapparaîtrelessymbolessuivantspourunflag
positionné:(4)
o S(SYN)
o F(FIN)
o P(PUSH)
o R(TST)
o
W(ECNCWR)
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 13/14
7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP
http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 14/14
Etude de l’outil d’administration TCPDUMP
Références
http://www.wikipédia.com
ManueldelacommandesousUbuntu
http://www.it-connnect.fr
http://www.tcpdump.org
http://www.lea-linux.org
http://www.openmaniak.com
Recommended