Analyse réseau déportée avec Ethereal

Publié le par

Cas rencontré

La machine depuis laquelle je veux analyser le traffic est une machine distante sans serveur X. Mon seul accès est en ssh.

Le but est de faire une analyse de traffic réseau sur cette machine et d’utiliser une autre machine d’administration utilisant ethereal pour faire l’analyse à proprement parler.

Sur la machine d’administration

Cette machine doit avoir ethereal installé.

Pour cela utilisez la commande yum -y install ethereal-gnome qui intallera ethereal et son interface graphique.

Récupération des donées brutes

Sur la machine qui va capturer les trames pour l’analyse, utilisez la commande suivante :

tcpdump -i eth0 -w resultat-tcpdump.cap

Ceci écoutera sur l’interface eth0, vous pouvez en spécifier une autre si necessaire.

L’option -w va créer un fichier avec des données brutes. Ceci est nécessaire pour que ethereal puisse les ouvrir. Sans cette option tcpdump essaie de mettre en forme les données et ethereal ne peut exploiter le fichier.

La capture est lancée tant que vous ne faites pas Control+C pour la stopper.

Analyse des données collectées

Sur la machine d’administration, il faut récupérer via scp ou tout autre moyen le fichier de capture créé.

Lancer ansuite ethereal et faites « Fichier », « Ouvrir ».

Sélectionnez le fichier de capture resultat-tcpdump.cap et ethereal va importer les données.

Il ne vous reste qu’à analyser les résultats.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.