Tcpdump

Voici un résumé de comment utiliser TCPDump :

tcpdump [options] [filtrage [and/ and not] [filtrage]...]

[options] :
-i [interface] : choix de l’interface
-n : pas de résolution DNS
-w [filename] : rediriger la capture de trames dans un fichier
-vv : output verbeux de la capture

[filtrage] :
host [IP] : filtre la capture en matchant uniquement ce host en source et en destination
src [IP] : filtre la capture avec comme source celle précisée
dst [IP] : filtre la capture avec comme destination celle précisée
port [protocole] : indique le port de filtrage

Voici quelques exemples courants :
tcpdump -i eth0 -n host 192.168.1.254

tcpdump -i eth0 -n host 192.168.1.254 icmp

tcpdump -i eth0 -n src 192.168.1.254 and port ssh

tcpdump -i eth0 -n -w fichier_capture.cap src 192.168.1.254 and port ssh

tcpdump -nnXSs 0 ....

Nmap

Voici un HowTo sur le binaire Nmap :

nmap [options] [host(s)]

[host(s)] :

Un seul host : 192.168.1.254
Plusieurs hosts : 192.168.1.250-254
Une plage IP : 192.168.1.0/24

[options] :

-sP : test ICMP (Ping)

$> nmap -sP 192.168.1.254

-p : test de port, plage de ports

$> nmap -p 80 192.168.1.254
$> nmap -p 22,80 192.168.1.0/24
$> nmap -p 21-22 192.168.1.0/24

-sU -p [port] : test de port UDP

$> nmap -sU -p 161 192.168.1.254

-A : teste le protocole issu du port testé

$> nmap -A -p 80 192.168.1.254

-n : pas de résolution DNS
-oG – : change l’output de la commande pour que le résultat soit « greppable » (affichage du résultat d’un host sur une seule ligne)

Petits exemples reprenant ce qu’on a vu plus haut :

$> nmap -A -p 80 -n 192.168.1.254 -oG -
$> nmap -sP 192.168.1.0/24 -oG -

HowTo Regex

Voici un HowTo pour utiliser les Regex :

. # le point représente tous les caractères
*
?
+ # le plus représente une répétition du caractère précédent à l'infini
 # Le back-slash permet d'échapper les caractères spéciaux comme : -/:;()€&@".,?!'[]{}#%^*+=_|~<>$£¥•
^ # le ^ permet de positionner la recherche au début de la ligne en imposant que l'expression qui suit soit un élément indispensable de la recherche
$ # Le $ permet de positionner la recherche à la fin de la ligne en imposant que l'expression qui précède soit un élément indispensable de la recherche
[a-z] # Cette expression permet de dire que le caractère cherché est compris entre "a" et "z".
[A-Z] # Cette expression permet de dire que le caractère cherché est compris entre "A" et "Z".
[0-9] # Cette expression permet de dire que le nombre cherché est compris entre "0" et "9".
[a-zA-Z0-9] # Cette expression permet de dire que le caractère chercher est compris entre "a" et "z", aussi entre "A" et "Z", mais aussi entre "0" et "9".
{1} # cette expression est souvent précédée des expressions ci-dessus afin de caractériser la répétition, ici on répète une seule fois.
{1-2}

([^,]*) # tous les caractères jusqu'au 1er ","