Discussion :

[maloy]

Bonjour,

J'utilise tcpdump avec la commande suivant pour avoir des informations du trafic enregistré dans un log.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

tcpdump -an | grep x.x.x.x > test.txt

J'aimerai partir de la même commande et y ajouter une "lenght" et seulement y afficher dans le log ceux > à 500, comme ci-dessous mais je pense que c'est faux.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

tcpdump -an | grep x.x.x.x && lenght > 500 > test.txt

Merci.

[N_BaH]

Bonjour,

tcpdump semble pouvoir se suffire à lui même; c'est à dire qu'il peut n'afficher que les paquets qui respectent certaines conditions.
regarde à la fin du man : il y a des exemples.

[Flodelarab]

Bonjour,

je ne sais pas ce qu'est "lenght" dans ton texte comme dans ton code. "length" par contre, prononcé presque "lengs", à cause du "th" anglais, signifie "longueur".

[maloy]

exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

21:00:19.673931 IP X.X.X.X.7777> X.X.X.X.59448: UDP, length 43

je voudrais y log que les length supérieur à 500

[disedorgue]

Bonjour,

Ce type de grep sera suffisant si tu ne veux que les lignes avec le mot "lenght" suivi d'un nombre que tu veux supérieur ou égale à 500:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

grep 'length *[5-9][0-9][0-9]'

En grep, tu ne peux pas faire de test arithmétique, juste de syntaxe, et par chance, pour tester >= 500, on peut le faire syntaxiquement.
Pour une vrai comparaison arithmétique, je te conseillerais awk.

Bonnes Fêtes de fin d'année.

[maloy]

D'accord merci et ça donne quoi avec la commande tcpdump?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

tcpdump -an | grep 'length *[5-9][0-9][0-9]' > test.txt

C'est bon? et si on veut y ajouter une ip comme au début?

[demkada]

J'aimerai partir de la même commande et y ajouter une "lenght" et seulement y afficher dans le log ceux > 500

Bonjour,
Voici un filtre qui peut t'aider à résoudre ton problème :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

tcpdump -n 'host x.x.x.x and ip[2:2] > 500' > test.txt

Bref, c'est quasiment ce que t'a suggéré jlliagre, mais par contre l'option -v ne m'a pas l'air d'être une obligation, la seule obligation est que les paquets doivent communiquer avec l'adresse ip x.x.x.x , et que la taille du paquet doit être strictement supérieur à 500 (Ce que tu souhaites).
Et si tu remarques que ça n'écrit rien, lance la commande dans un terminal et crée dans un autre terminal un trafic grand avec la commande wget google.com par exemple (En supposant que c'est la machine x.x.x.x que tu lances ta commande, machine sur laquelle ta lancé la commande tcpdump) et tu verras si ça marche ou pas.