Filtrer paquets par leur contenu via tcpdump

**Cerghan** · 18/03/2014, 15h21

Bonjour,
je ne sais pas si mon intitulé est clair, mais voici mon problème:

J'ai 2 machines qui s'envoient des messages taggués au niveau de la payload. Je peux voir ces messages transiter avec tcpdump -A mais ils sont noyé dans une foule d'autres messages. J'aimerai pouvoir filtrer ces messages via la payload comme je peux le faire avec une IP, ex tcpdump -A dst host x.x.x.x.
Je n'ai pas trouvé de solution dans les options de tcpdump (ou alors j'ai mal lu...). Tout ce que j'arrive à faire pour le moment c'est tcpdump -A | grep "regex" qui m'isole la ligne du tag mais qui ne me donne pas les autres infos du paquet (horaire, protocole etc).

Auriez vous des idées pour me dépanner ?
Merci !

**N_BaH** · 18/03/2014, 18h26

Bonjour,

tcpdump sait filtrer.

peux-tu nous montrer un exemple de ce que tu récupères avec tcpdump (idéalement, en téléchargeant un fichier écrit avec l'option -w, qu'on fasse des tests), et de ce que tu voudrais obtenir ?

**Cerghan** · 19/03/2014, 09h34

Merci pour ta réponse.

Je ne peux pas donner un pcap, car il contiendrait des informations que je ne peux pas publier. Mais voici une version raccourcie du pcap en .txt:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
 
08:52:40.118211 IP 192.188.112.48.8581 > 192.188.119.10.58308: Flags [.], ack 45, win 453, options [nop,nop,TS val 88829822 ecr 802208998], length 0
E..4..@.@.....p...p........2...............
..5>#...
08:52:40.185302 IP 192.188.112.48.8148 > 192.188.119.10.4148: UDP, length 50
E..N..@.@..W..p...p....2.:R.00.....public.#...........0.0...+.....M...q.......
08:52:40.189589 IP 192.188.119.10.4148 > 192.188.112.48.8148: UDP, length 51
E..O..@.@..V..p...p..2...;T.01.....public.$...........0.0...+.....M...q........
08:52:40.287822 ARP, Request who-has 192.188.112.43 tell 192.188.119.10, length 48
..........'.....p.........p+..................
08:52:41.384229 IP 192.188.112.41.39738 > 128.32.25.1.1234: UDP, length 1138
E.....@.
.Z...p).....:...x.`.....h..b....@.. ...........
.."................+......-.	.....a.a......;............................................... ...........
...AAPB1AA0000AAPB5AA0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
08:52:41.514771 ARP, Request who-has 192.188.112.42 tell 192.188.119.10, length 48
..........'.....p.........p*..................
08:52:41.858883 IP 192.188.112.41.8141 > 192.188.119.10.4141: UDP, length 50
E..N..@.@..\..p)..p....-.:b.00.....public.#...........0.0...+.....M...q.......
08:52:41.888121 IP 192.188.119.10.4141 > 192.188.112.41.8141: UDP, length 52
E..P..@.@..Z..p...p).-...<@t02.....public.%...........0.0...+.....M...q........p
#.	...?......
08:52:43.752105 IP 192.188.112.48.8581 > 192.188.119.10.58308: Flags [.], ack 85, win 453, options [nop,nop,TS val 88833457 ecr 802212831], length 0
E..4..@.@.....p...p........2...............
..Cq#.	.
08:52:43.782535 IP 192.188.112.41.39738 > 128.32.25.1.1234: UDP, length 1138
E.....@.
.Z...p).....:...x.`.....h..b....@.. ...........
.."................+....../.	.....a.a......;............................................... ...........
...AAPB1AA0000AAPB5AA0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
08:52:44.188747 IP 192.188.112.48.8148 > 192.188.119.10.4148: UDP, length 50
E..N..@.@..W..p...p....2.:R.00.....public.#...........0.0...+.....M...q.......
08:52:44.190558 IP 192.188.119.10.4148 > 192.188.112.48.8148: UDP, length 51
E..O..@.@..V..p...p..2...;T.01.....public.$...........0.0...+.....M...q........
08:52:44.271892 ARP, Request who-has 192.188.112.43 tell 192.188.119.10, length 48
..........'.....p.........p+..................
08:52:44.510980 ARP, Request who-has 192.188.112.42 tell 192.188.119.10, length 48
..........'.....p.........p*..................
08:52:44.851753 IP 192.188.119.10.8500 > 224.3.1.2.8500: UDP, length 7
E..#..@...aT..p......d.d......................
08:52:44.851835 IP 192.188.119.10.58990 > 192.188.112.41.8511: Flags [P.], seq 85:70, ack 1, win 7300, options [nop,nop,TS val 802213532 ecr 75541389], length 5
E..9kf@.@.m...p...p).n.o"...9..............
#......y.....
08:52:57.885707 IP 192.188.119.10.4141 > 192.188.112.41.8141: UDP, length 51
E..O..@.@..[..p...p).-...;E.01.....public.$...........0.0...+.....M...q........

Mon but serait d'obtenir ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
08:52:41.384229 IP 192.188.112.41.39738 > 128.32.25.1.1234: UDP, length 1138
E.....@.
.Z...p).....:...x.`.....h..b....@.. ...........
.."................+......-.	.....a.a......;............................................... ...........
...AAPB1AA0000AAPB5AA0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000	.
08:52:43.782535 IP 192.188.112.41.39738 > 128.32.25.1.1234: UDP, length 1138
E.....@.
.Z...p).....:...x.`.....h..b....@.. ...........
.."................+....../.	.....a.a......;............................................... ...........
...AAPB1AA0000AAPB5AA0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

**N_BaH** · 19/03/2014, 15h05

sans sauvegarde réelle, on ne peut pas tester de commandes tcpdump

ngrep (grep pour le trafic réseau) peut peut-être t'aider.

**Cerghan** · 20/03/2014, 09h12

Après pas mal de recherche, je pense pouvoir dire que tcpdump n'est pas capable de faire ce que je veux.
tshark et ngrep le peuvent par contre, la commande suivante filtre les paquets en fonction de leur payload:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part