etude de l'outil d'administration réseau tcpdump

14
Université de Lomé  Centre Informatique et de Calcul  hargé du cours :Dr-IngVenantPALANGA P ar  : FANYOMarilyn GAR A-IDRISSOU Abdou l- Rachidou  Semestre 6 / 2014 2015  Etude de l’outil d’administration: TCPDUMP 

Upload: marilynfanyo

Post on 23-Feb-2018

232 views

Category:

Documents


0 download

TRANSCRIPT

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 1/14

Université de Lomé 

Centre Informatique et de Calcul

  hargé du cours:Dr-IngVenantPALANGA

Par

 : FANYOMarilyn

GARA-IDRISSOUAbdoul-Rachidou

 

Semestre 6 / 2014 2015

 

Etude de l’outil d’administration:

TCPDUMP 

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 2/14

Etude de l’outil d’administration TCPDUMP

 

 

Table des matières

I.  Introduction ............................................................................................................................ 2 

II.  Présentation ............................................................................................................................ 2 

Dans quels cas utiliser Tcpdump ? ......................................................................................... 3 

III.  Historique ............................................................................................................................... 3 

IV.  Fonctionnement ..................................................................................................................... 4 

1. 

Téléchargement et installation ........................................................................................ 4 

2.  Utilisation ........................................................................................................................ 5 

V.  Conclusion ............................................................................................................................ 12 

Références .................................................................................................................................... 13 

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 3/14

Etude de l’outil d’administration TCPDUMP

 

I. 

Introduction

LesterminauxpourcommuniquerdansunréseauTCP/IPréalisentleurséchanges

d’informationsenmettantcelles-cisousuneformeparticulière,les paquetsqui

transitentd’uneinterfaceàuneautreetce,quellequesoitl’envergureduréseau.

Ilestsouventutileàdesfinssécuritairesoudediagnostic,deprendreconnaissancede

manièredétaillée,dutraficd’informationsengagédansunréseau.C’estdanscette

optiquequedenombreuxoutilsdecaptureetd’analysedestraficsréseauontétémis

enplaceaunombredesquelsnotresujetd’étude:TCPDUMP.

II. 

Présentation

SelonWikipédia,"Tcpdumpestunanalyseurdepaquetsenlignedecommande.Il

permetd'obtenirledétaildutraficvisibledepuisuneinterfaceréseau".

D’aprèslesconcepteurs,"Tcpdumpestunpuissantanalyseurdepaquetsenlignede

commande".

Enclair,ils’agitd’unsniffer,outilpermettantde«renifler»oud’écouterleréseau,de

capturertoutoupartiedesfluxtransitantautraversd’uneouplusieursinterfacesd’une

machine,del’affichersousformed’en-têtesdepaquets,etd’analyserlesinformations

obtenuesàl’aidedesdifférentesoptionsdelacommande.

End’autrestermes,ilpermetàsonutilisateurd’intercepteretd’afficherdespaquetsde

toustypes(TCP/IPetautres),quisonttransmisetreçussurunréseauauquel

l’ordinateurestconnecté.

Cetoutilestdisponiblesouslaformed’unecommandeàutiliserdansuneinvitede

commandes.

Pourlacapture,ilestbasésurLibpcap,unebibliothèqueC/C++développéeparles

concepteursdusniffer,cequiluipermetd’êtrecompatibleavecd’autresanalyseurs

réseauxquiutilisentlamêmebibliothèqueàl’instardeWireshark.Onparledonc

souventdeTcpdump/Libpcap.Disponiblesousdiversesplateformes(GNU/Linux,

FreeBSD,NetBSD,OpenBSDetMacOSX),leurportagesousWindowsestconnu

souslesappellationsWinPCAP/WinDUMP.

NotreétudeporterasursonutilisationsousunedistributionLinux.

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 4/14

Etude de l’outil d’administration TCPDUMP

 

Dans quels cas utiliser Tcpdump ?

L’analyseréseauestsouventutiliséedansl’administrationsystèmeàdesfins

d’apprentissageetégalementdediagnostic.AvecunoutiltelqueTcpdumpl’on

possèdeunevueexactesurcequitransite vialeréseau.

L’avantagedeTcpdumpestqu’ils’utiliseenlignedecommande,cequilerendplus

simpled’utilisationsurdesserveursdépourvusd’interfacegraphiquesurlesquelson

souhaiteeffectuerdescapturesdetramesetdesanalysesréseau.

Tcpdumpestfréquemmentutilisépourdéboguerdesapplicationsquigénèrentou

reçoiventdutraficréseau.

Ilpeutaussiêtreutilepourdéboguerlesconfigurationsréseauenelles-mêmesen

déterminantsitoutleroutagenécessairesedéroulecorrectement,permettantàl’administrateurd’isolerparlasuitelasourcedesproblèmes.

Ilestaussipossibled’utiliserTcpdumpdanslebutspécifiqued’intercepteretd’afficher

lescommunicationsd’unautreutilisateurouterminal.

 Atitred’exemplesilpourraêtreutiliséparunadministrateurdansunréseaulocal

d’entrepriseafindeprendreconnaissancedestraficssedéroulantsurdifférents

terminauxtellesqu’unemachinelocale,unepasserelle,unserveur,afindepouvoir

déterminerleséventuelsrisquesdesécurité.

Grâceàl’analysereportée,l’outilpermettraégalementdeprendreconnaissancedes

activitésantérieuresdusystèmeentier(réseaulocal)àdesfinsdedébogage. 

.

III.  Historique

TcpdumpetLibpcapsontdéveloppésen1987auLaboratoirenationalLawrence-BerkeleyauxÉtats-UnisparVanJacobson ,StevenMcCanne etCraigLeres ,lecréateur

d'arpwatch.Verslafindesannées1990,Tcpdumpestdistribuédansdenombreux

systèmescequinefavorisaitguèrel'applicationdecorrectifs.MichaelRichardson et

BillFenner créentunsiteofficielen1999pourrépondreàcemanquedecoordination

etdeviennentalorslesmainteneursduprojet.

 

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 5/14

Etude de l’outil d’administration TCPDUMP

 

Depuissamiseenroute,TcpdumpetLibpcapnecessentd'évolueretdifférentes

 versionssesontsuccédées.Acejour,nousensommesàlaversion4.7.4deTcpdump

etlaversion1.7.3deLibpcap,parusle22Avril2015.

IV.  Fonctionnement

1. 

Téléchargement et installation

TcpdumpestnativementinstallésouscertainesdistributionsdeLinuxtellesUbuntu.

Maissinon,soninstallationsefaittrèssimplementenlignedecommande:

  DistributionRedHat 

 

  DistributionDebian

 

Onpeutaussil’installeràpartirdessources:

Installationpréalabledeflexetbison 

# apt-get install flex bison

InstallationpréalabledeLibpcap1.7.3

# apt-get install libpcap1.7.3

InstallationdeTcpdump4.7.4

# cd /usr/local/src

# wget http://www.tcpdump.org/release/tcpdump-4.7.4.tar.gz 

# tar xzvf tcpdump-4.7.4.tar.gz

# cd tcpdump-4.7.4

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 6/14

Etude de l’outil d’administration TCPDUMP

 

# ./configure

# make && make install

2. 

Utilisation

Tcpdumpselanceenrootcarilabesoindedroitsd’accèsnécessairespourpasservos

interfacesréseauen« promiscuousmode »:l’interfacevaaccepteretanalysertousles

paquetsIP,mêmeceuxquineluisontpasdestinés,cequinécessitecertainsprivilèges.

 Aumêmetitrequed'autrescommandes,Tcpdumppeutêtreaccompagnéede

paramètrespourutilisercertainesfonctionsparticulières.Parmilespluscourantes,on

retrouve:

-v  laverbosité; permetd'afficherdesinformationsdétaillées

surlespaquets.Ondistingue3niveauxdeverbositéetle

nombredevutiliséscorrespondauniveaudeverbosité.

-D  afficherlesinterfacesréseauxdisponiblespourlacapture

-p 

empêcheTCPDUMPdepasserenmode" promiscuous "et

ainsin'autorisequel'analysedespaquetsquitransitentpar

l'interface.Celapeutpermettred'échapperauxoutilsde

détectiondesniffermaisfaitperdreégalementunebonne

partiedutrafic.

-n  permettradenepasconvertirlesadressesetlesnuméros

deportenleursnoms

-X -x  affichelesdonnéesdepaquetsenASCIIetenhexadécimal.

Ilestutilepourl'analysedeprotocolesbaséssurletexte

(HTTP,POP3,…)

-s taille_de_la_capture  c'estlataillemaximaled'unpaquetcapturé.Au-delà,le

paquetesttronqué.Pardéfautseulsles68premiersoctets

sontcapturés.Pourrécupérerunpaquetdanssonentièreté,

ilfautspécifierunetaillenulle:-s 0

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 7/14

Etude de l’outil d’administration TCPDUMP

 

-c nombre_de_paquets  permetdespécifierlenombredepaquetsàcapturer.Par

défautTcpdumpcontinuelacaptureindéfinimentàmoins

qu’onnel’arrêteaveclacombinaisondetouchesCtrl+C

-i 

permetdechoisirl'interfaced'écoute.Pourécoutertoutes

lesinterfacesilfaututiliserl'optionanyaprès-i

Fig1.Exemplesd’optionsutilisablesavecTcpdump

Unemultituded’autresoptionssontdisponiblesetleurusagepeutêtreconnugrâceau

manueldelacommandeaccessiblevialacommandeman Tcpdump.

a)  Particularité : les fichiers pcap

Ilfautreconnaîtrequel’utilisationd’unsnifferenlignedecommandeapour

inconvénientunedifficultéd’exploitationetdelecturedesrésultatsdequantité

importante.Tcpdumpoffrealorslapossibilitéd’enregistrerlesrésultatsdansdes

fichiersauformatpcappouruneanalyseultérieure.Ceciestpratiquedanslecaspar

exempleoùonlaissetournerlacommandependantplusieursheuresouquel’onanalyseunegrandequantitédepaquets.

Pourenregistrerletraficcapturédansunfichierilfautrajouterl’option–w(pour

‘write’)puislenomdufichieravecl’extension.pcap,etceciàlafindelacommande.

Puispourlirelecontenud’unfichier.pcap,onutilisesimplementl’option–r(pour

‘read’)accompagnédunomdufichieretdel’extension.Dufaitdelacompatibilitéavec

 Wireshark,ilestpossibledelirelesfichiers.pcapaveccetoutilàinterfacegraphique.

D’autresoptionsplutôtpratiquessontprésentesdansTcpdump,sil’oneffectueune

analyseréseaudeplusieursheuresvoireplusieursjourscommec’estlecaslorsde

l’enregistrementpermanantdecertainstraficsréseau.

  Ilpeutêtreutiledeséparernosfichiersenfonctiond’unevaleurtemporelleou

unevaleurdetaille.Celaestpossiblevialesoptions–Get–C.L’option–Gpermetde

créerunnouveaufichierau-delàd’unecertainepériodedonnée.

Onpeutégalementyajouterunhorodatagestrftimequiestsimplementlafaçondont

nosfichiersvontêtredynamiquementnommés.Parexemplesionsouhaiteaucours

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 8/14

Etude de l’outil d’administration TCPDUMP

 

d’unecaptureréseauavoirunfichierparpérioded’uneminute,onutiliserala

commandesuivante: 

Ici,  Hseraremplacéparl’heuredecréationdunouveaufichier,  Mparlaminute

et  Sparlaseconde.Ainsi,chaquenouveaufichiercréé(auboutde60secondes)

n’effacerapasleprécédent,cequiestlecassionnespécifiepasd’horodatagestrftime.

 Aprèsavoirlaissécettecommandetournerquelquesminutes,voicilesfichierspcapque

l’onpourratrouver:

Fig2.Capturedesfichierscréesparhorodatage 

Onremarquedanscettecapturelechangementdenomsenfonctiondesminutes .

  Nouspouvonségalementagirenfonctiondelatailledufichiercapturé

etnonenfonctiond’undélaifixé.Pourcela,ilfaututiliserl’option-C,onspécifiera

ensuitelatailleenmilliond’octets(onparleicid’unmilliontoutrond,pasunmillion

ausens“octal”).Ici1000000d’octetsestégalà1Mo.Sinoussouhaitonsparexemple

avoirdesfichiers.pcapde2Mochacunlorsd’unecapturecontinue:

 Voilàlesdifférentsfichiers.pcapquel’onpourraalorsavoir:

Fig3.Capturedesfichierscréesparfixationdelataille 

Onvoitdoncquelesfichierssontnomméscommeindiquésuivid’unnuméro

incrémenté.

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 9/14

Etude de l’outil d’administration TCPDUMP

 

b)  Les règles

Ilestpossibledesélectionnerlespaquetsà"écouter"enfonctiond'expressions.Ainsi,

neserontaffichées/traitéesquelesinformationspourlesquelleslerésultatde

l'expressionestvérifié.

Unerègleestunecompositiondeplusieursprimitivesliéespardesopérateurslogiques

(and, or, not...)

Uneprimitiveestunidentifiantprécédédemotsclésquiindiquentletypede

l'identifiant.Parexemplelaprimitivesrcport21contientlesélémentssuivants:

  lemotclésrcquiindiquequel'identifiantneportequesurlasourcedupaquet

 

lemotcléportquiindiquequel'identifiantestleportdupaquet  l'identifiant21

Laprimitivecorresponddoncauportsource21.

Delamêmemanière,laprimitiveethersrc00:11:22:33:44:55indiquel'adresseEthernet

(ouMAC)source00:11:22:33:44:55.

Lesprimitiveslespluscourantessontlessuivantes:

src<adresse>  l'adressesourceest<adresse>

dst<adresse>  l'adressedestinationest<adresse>

host<adresse>  l'adressesourceoudestinationest<adresse>

 port<port>  leportsourceoudestinationest<port>

srcport<port>  leportsourceest<port>

dstport<port>  leportdestinationest<port>

 portrange<port1>-<port2>  leportestcomprisentre<port1>et<port2>.

Fig4.PrimitivescourantesdeTcpdump

Lesprimitivespeuventêtrereliéesaveclesopérateurslogiquesand,oretnot.

Onpeutégalementpréciserleprotocole.

Quelquesexemples:

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 10/14

Etude de l’outil d’administration TCPDUMP

 

tcpdump–iwlan0–c20src192.168.0.1

  Ondemandeicilacapturede20paquetsàpartirduréseauauquelestconnecté

l’interfacewlan0maisaveclaspécificationquelesseulspaquetsaffichéssont

ceuxenprovenancede192.168.0.1

tcpdump-ieth0dstport25

  Onpourraégalementisolerlasourceouladestination.Icionnesouhaite

capturerquelesenvoisdemails(port25endestination)

tcpdump-ieth0srcnet192.168

 

Capturertouteslesconnexions,quiontpoursourceuneadresseIPcommençantpar192.168

tcpdump-ieth0src192.168.0.175anddst192.168.0.1andport80andtcp

  Capturertouteslesconnexionsréseauxquivontdel'adresseIP192.168.0.175

 versl'adresse192.168.0.1,utilisantleprotocoleTCPetleport80

tcpdumpsrc192.168.100.1anddst192.168.1.6andportftp

 

 AffichagedespaquetsFTPvenantde192.168.100.1etallantvers192.168.1.6

tcpdump-x-X-s0src192.168.0.1anddst212.208.225.1andport53andudp

   Voiciunelignecomplètequinelaissepasserquelespaquetsenprovenancede

192.168.0.1vers212.208.225.1,surleport53enudp.Affichageducontenudes

paquetsauformathexadécimaletascii(-x-X)etce,quellequesoitleurtaille(-s

0).

L’utilisationdeTcpdumppeutégalementêtrejugéemalveillante,commelemontrecetexemple:

  CapturerunmotdepasseFTP:

tcpdump– AOnlancecettecommandesurunemachinesurlaquelleesten

coursunesessionFTP.Lerésultatestlesuivant:

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 11/14

Etude de l’outil d’administration TCPDUMP

 

10 

Fig5 .Captured’unesessionFTP 

Onpeutobserverdanscettesectioncapturée,lelogin(teddybear )etlemotdepasse

(wakeup ).Onpourraitégalementintercepterdesemailsenvoyéssurunréseau,desconversations

etd’autresinformationssensibles.

Ilestdoncprimordiald'utiliserdesconnexionssécurisées(https,ftps,ssh,smtps...)

lorsquel'onestsurInternet,afinderendrelesinformationssensibles,illisiblesviace

procédé.Ilfautégalementseprotégeràl’aided’unpare–feuquipourradétecteret

intercepterlestentativesmalveillantesdecapturedutrafic.

c)  Format de la sortie

Lasortieestdépendanteduprotocoleutilisé.Voiciunedescriptionsommaireetdes

exemplesserapportantauxprotocolesARPetTCP

Paquets RP

Lasortiepourcetypedepaquetsseveuttrèssimpleàinterpréter.Lapremièreligne

indiquequel’hôtealphaémetunerequêteARPpourconnaîtrel’adresseMACdel’hôtepossédantl’adresseIPbeta.«Celuiquipossèdebetarépondàalpha».

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 12/14

Etude de l’outil d’administration TCPDUMP

 

11 

PuisbetaenvoieuneréponsedirecteàalphapourluispécifiersonadresseMAC«beta

setrouveà@mac_beta».

 Avecl’option–n,onpeutmieuxvisualiserlerésultatavecdesadressesnumériquessi

celles–cisontremplacéspardesnomsd’hôtes.Mieuxencoreavecl’option–e,deplus

amplesdétailssontaffichés.

Fig6.SortiepourdespaquetsARP

Paquets TCP

Fig7.SortiecourantepourdespaquetsTCP

Leformatcourantdelasortieest:

  L’heure(1)

 

Letypedeprotocole(iciIP)(2)

  L’IPsource.port_source>IPdestination.port_destination(3)

  LesflagsTCP;onverraapparaîtrelessymbolessuivantspourunflag

positionné:(4)

o  S(SYN)

o  F(FIN)

o  P(PUSH)

o  R(TST)

 W(ECNCWR)

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 13/14

7/24/2019 Etude de l'Outil d'Administration Réseau TCPDUMP

http://slidepdf.com/reader/full/etude-de-loutil-dadministration-reseau-tcpdump 14/14

Etude de l’outil d’administration TCPDUMP

 

Références

 

http://www.wikipédia.com 

 ManueldelacommandesousUbuntu 

  http://www.it-connnect.fr 

  http://www.tcpdump.org

  http://www.lea-linux.org

  http://www.openmaniak.com