Discussion :

[bbkenny]

Bonjour,

J'ai besoin de faire un script sous linux qui analyse les trames réseaux. Je voudrais pouvoir analyser en live le résultat d'un TCPDUMP.

Je n'ai pas trouvé une option avec TCPDUMP pour le faire.

Quelqu'un aurait-il une suggestion à me proposer.

Par avance merci.

[Flodelarab]

Bonjour

Toutes les informations sont dans ton résultat de TCPDUMP.

Il faudrait que tu définisses ce que tu veux en résultat d'analyse.

Pour les outils, les traditionnels grep/sed/awk ou un script bash ou perl, peuvent traiter les informations.

Précise, s'il te plaît, que tu veux bien analyser un flux et pas le fichier résultant. Ou le contraire.

[bbkenny]

Bonjour
Ce que je veux pouvoir traiter est bien un flux et non pas un fichier resultant• Ma problématique est comment récupérer ce flux sans passer par un fichier ?

[Flodelarab]

comment récupérer ce flux sans passer par un fichier ?

En passant par une conduite classique.
Une conduite étant une succession de commandes reliées par des pipes.

Reste à savoir l'information que tu veux récupérer.

Exemple : si je veux les adresses IP du flux :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
$ tcpdump -i eno1 -n |grep -o ' [0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'                                                                                                                                                             
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode                                                                                                                                                                                                        
listening on eno1, link-type EN10MB (Ethernet), capture size 262144 bytes                                                                                                                                                                                                         
 192.168.1.54                                                                                                                                                                                                                                                                     
 50.97.125.139                                                                                                                                                                                                                                                                    
 50.97.125.139                                                                                                                                                                                                                                                                    
 192.168.1.54                                                                                                                                                                                                                                                                     
 192.168.1.54                                                                                                                                                                                                                                                                     
 50.97.125.139                                                                                                                                                                                                                                                                    
 192.168.1.54                                                                                                                                                                                                                                                                     
 50.97.125.139                                                                                                                                                                                                                                                                    
 50.97.125.139                                                                                                                                                                                                                                                                    
 192.168.1.54                                                                                                                                                                                                                                                                     
 50.97.125.139                                                                                                                                                                                                                                                                    
 192.168.1.54                                                                                                                                                                                                                                                                     
 192.168.1.54                                                                                                                                                                                                                                                                     
 50.97.125.139                                                                                                                                                                                                                                                                    
 50.97.125.139                                                                                                                                                                                                                                                                    
 192.168.1.54                                                                                                                                                                                                                                                                     
 192.168.1.54                                                                                                                                                                                                                                                                     
 50.97.125.139                                                                                                                                                                                                                                                                    
 192.168.1.54                                                                                                                                                                                                                                                                     
 50.97.125.139                                                                                                                                                                                                                                                                    
 50.97.125.139                                                                                                                                                                                                                                                                    
 192.168.1.54                                                                                                                                                                                                                                                                     
 50.97.125.139                                                                                                                                                                                                                                                                    
 192.168.1.54                                                                                                                                                                                                                                                                     
 192.168.1.54                                                                                                                                                                                                                                                                     
 50.97.125.139                                                                                                                                                                                                                                                                    
 192.168.1.254

[bbkenny]

Bonjour,

Merci pour la réponse.

J'ai mal expliqué mon besoin. Je veux pouvoir traiter chaque lignes retournées. Si je prends l'exemple fournit ci-dessous, je voudrais pouvoir émettre un message SYSLOG pour chaque IP.

[Flodelarab]

La commande est toute simple : logger. Pour plus d'infos :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

man logger

Exemple de console:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$ logger "J ai un probleme. Je crois bien que je t aime"
$ su
$ tail -n 1 /var/log/messages
Jun 13 17:55:38 Ordinateur Flodelarab: J ai un probleme. Je crois bien que je t aime

Après, libre à toi d'utiliser la méthode que tu préfères.
Tu peux par exemple créer un pipe nommé et rediriger le flux dedans. Puis alimenter une boucle while avec ce pipe.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$ mkfifo mon_pipe
$ tcpdump -i eno1 -n >mon_pipe &
$ ma_var=0;while read ligne; do ma_var=$((ma_var+1)); if [ $ma_var -gt 100 ]; then break;fi; echo "$ma_var $ligne";done < mon_pipe
1 ( ...)

Cette commande lit les 100 premières lignes, les écrit numérotées et s'arrête.
La variable $ligne contient la dernière ligne extraite du flux.
Tu comprends que tu pourrais mettre n'importe quel script ou analyse dans ta boucle.
"break" sort de la boucle même si tcpdump peut fournir.

Attention ! Si un des deux côté du pipe nommé s'arrête, le lien est rompu. Il faut recommnencer.

PS: je n'ai pas copié/collé le résultat des 100 lignes.