Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tcpdump [2025/12/15 11:49] – [7. Règle d’or] huracan
+++ tcpdump [2025/12/16 09:00] (Version actuelle) – [4. Fermeture de connexion] huracan
@@ Ligne 2: / Ligne 2: @@
 Objectif : **diagnostic immédiat** d’un problème réseau ou applicatif en regardant uniquement les **flags TCP**.
----
 ==== 1. Flags essentiels ====
@@ Ligne 13: / Ligne 11: @@
 | F | Fermeture propre |
 | R | Coupure / refus |
----
 ==== 2. Connexion TCP ====
@@ Ligne 23: / Ligne 19: @@
 | [S] → [R] | Port fermé |
 | [S.] sans [.] | Retour bloqué / client défaillant |
----
 ==== 3. Échange de données ====
@@ Ligne 32: / Ligne 26: @@
 | [.] | Données reçues |
 | [.] répétés | Perte de paquets / MTU / congestion |
----
 ==== 4. Fermeture ====
@@ Ligne 41: / Ligne 33: @@
 | [F.] → [R] | Fermeture anormale |
 | [R] direct | Coupure brutale |
----
 ==== 5. Diagnostic express ====
@@ Ligne 52: / Ligne 42: @@
 | Coupure après quelques secondes | Timeout |
 | ACK en boucle | Perte réseau / MTU |
----
 ==== 6. Commandes utiles ====
@@ Ligne 65: / Ligne 53: @@
 Voir les tentatives de connexion : <code>
 tcpdump -nn 'tcp[tcpflags] & tcp-syn != 0' </code>
----
 ==== 7. Règle d’or ====
@@ Ligne 75: / Ligne 61: @@
 **À utiliser comme fiche réflexe lors d’une analyse tcpdump en production.**
@@ Ligne 340: / Ligne 323: @@
 Lecture des flags TCP dans tcpdump – résumé
 . Connexion
-[S] → tentative de connexion
+  [S] → tentative de connexion
+  [S.] → serveur OK
-[S.] → serveur OK
+  [.] → connexion établie
-[.] → connexion établie
+  ✔ [S] → [S.] → [.] = connexion normale
-✔ [S] → [S.] → [.] = connexion normale
 . Données
-[P.] → données envoyées
+  [P.] → données envoyées
+  [.] → données reçues (ACK)
-[.] → données reçues (ACK)
+  ✔ Échange fluide = fonctionnement normal
-✔ Échange fluide = fonctionnement normal
 . Fermeture
-[F.] → fermeture propre
+  [F.] → fermeture propre
+  [.] → ACK de fermeture
-[.] → ACK de fermeture
+  ✔ Fermeture propre = fin normale
-✔ Fermeture propre = fin normale
 . Erreurs / anomalies
-[R] / [R.] → connexion refusée ou coupée
+  [R] / [R.] → connexion refusée ou coupée
+  [S] répétés → service inaccessible / filtrage
-[S] répétés → service inaccessible / filtrage
+  [S.] sans [.] → problème côté client ou retour bloqué
+  ACK répétés ([.]) → perte de paquets / MTU / congestion
-[S.] sans [.] → problème côté client ou retour bloqué
-ACK répétés ([.]) → perte de paquets / MTU / congestion
 . Règle d’or
@@ Ligne 385: / Ligne 362: @@
 . Diagnostic express
-Ce que vous voyez	Conclusion probable
-SYN → pas de réponse	Filtrage / service down
+  |  Ce que vous voyez  |  Conclusion probable  |
-SYN → RST	Port fermé
+  |  SYN → pas de réponse  |  Filtrage / service down  |
-Connexion OK puis RST	Timeout / crash applicatif
+  |  SYN → RST  |  Port fermé  |
-ACK en boucle	Perte réseau / MTU
+  |  Connexion OK puis RST  |  Timeout / crash applicatif  |
+  |  ACK en boucle  |  Perte réseau / MTU  |
 ----
+==== PLUS PRECISEMENT ====
 . Rappel des principaux drapeaux TCP
@@ Ligne 455: / Ligne 434: @@
   Flags [.]
-  Fermeture TCP ordonnée
+  *   Fermeture TCP ordonnée
-  Comportement attendu en fin de session
+  *   Comportement attendu en fin de session
 .4 Réinitialisation (RST)
@@ Ligne 466: / Ligne 445: @@
 Interprétation possible :
-Port fermé
+  *   Port fermé
+  *   Service non à l’écoute
-Service non à l’écoute
+  *   Timeout applicatif
+  *   Pare-feu ou IPS qui coupe la connexion
-Timeout applicatif
-Pare-feu ou IPS qui coupe la connexion
 Très fréquent lors de problèmes applicatifs ou de filtrage.
 .5 SYN sans réponse (connexion impossible)
-Flags [S]
-Flags [S]
-Flags [S]
+  Flags [S]
-SYN retransmis
+  Flags [S]
+  Flags [S]
-Pas de SYN-ACK
+  *   SYN retransmis
+  *   Pas de SYN-ACK
 Causes possibles :
-Service indisponible
+  * Liste à puceService indisponible
+  *   Filtrage réseau
-Filtrage réseau
+  *   Problème de routage
-Problème de routage
 .6 SYN-ACK sans ACK final
-Flags [S.]
-Flags [S.]
+  Flags [S.]
-Le serveur répond
+  Flags [S.]
-Le client ne confirme pas
+  * Liste à puceLe serveur répond
+  * Liste à puceLe client ne confirme pas
 Causes :
-Problème côté client
+  * Liste à puceProblème côté client
+  * Liste à puceFiltrage retour
-Filtrage retour
+  * Liste à puceMTU / asymétrie réseau
-MTU / asymétrie réseau
 . Analyse des problèmes fréquents via les flags
 .1 Boucle de retransmission ACK
-Flags [.]
-Flags [.]
-Flags [.]
+  Flags [.]
+  Flags [.]
+  Flags [.]
+  ACK répétés
-ACK répétés
+  * Liste à puceIndique souvent une perte de paquets
+  * Liste à pucePossiblement congestion ou MTU incorrect
-Indique souvent une perte de paquets
-Possiblement congestion ou MTU incorrect
 .2 Retransmissions SYN + RST
-Flags [S]
-Flags [R.]
+  Flags [S]
+  Flags [R.]
-Connexion refusée immédiatement
-Port fermé ou refus explicite
+  * Liste à puceConnexion refusée immédiatement
+  * Liste à pucePort fermé ou refus explicite
 .3 FIN suivi d’un RST
-Flags [F.]
-Flags [R.]
+  Flags [F.]
+  Flags [R.]
-Fermeture anormale
+  * Liste à puceFermeture anormale
+  * Liste à puceSouvent applicatif (crash, timeout)
-Souvent applicatif (crash, timeout)
 . Indices complémentaires à regarder avec les flags
@@ Ligne 546: / Ligne 515: @@
 Les flags seuls ne suffisent pas toujours. À corréler avec :
-Numéros de séquence (seq, ack)
+    * Liste à puceNuméros de séquence (seq, ack)
+    * Liste à puceFenêtre TCP (win)
-Fenêtre TCP (win)
+    * Liste à puceOptions TCP (MSS, SACK, WS)
+    * Liste à puceRetransmissions (tcpdump -vv)
-Options TCP (MSS, SACK, WS)
+    * Liste à puceTemps entre paquets
-Retransmissions (tcpdump -vv)
-Temps entre paquets
 . Commandes tcpdump utiles pour l’analyse des flags
@@ Ligne 560: / Ligne 525: @@
 Afficher uniquement les flags :
-tcpdump -nn -tt -i eth0 'tcp'
+  tcpdump -nn -tt -i eth0 'tcp'
 Voir le détail TCP :
-tcpdump -nn -vvv -i eth0 tcp
+  tcpdump -nn -vvv -i eth0 tcp
 Filtrer les RST :
-tcpdump -nn 'tcp[tcpflags] & tcp-rst != 0'
+  tcpdump -nn 'tcp[tcpflags] & tcp-rst != 0'
 Filtrer les SYN :
-tcpdump -nn 'tcp[tcpflags] & tcp-syn != 0'
+  tcpdump -nn 'tcp[tcpflags] & tcp-syn != 0'
 . Méthode d’analyse recommandée
-Identifier le handshake
+  Identifier le handshake
-Vérifier la continuité des ACK
+  Vérifier la continuité des ACK
-Repérer les RST / retransmissions
+  Repérer les RST / retransmissions
-Vérifier la fermeture
+  Vérifier la fermeture
-Corréler avec le contexte applicatif
+  Corréler avec le contexte applicatif
@@ Ligne 589: / Ligne 554: @@
-====== Interprétation des flags TCP dans tcpdump ======
+====== CHEAT SHEET flags TCP dans tcpdump ======
 Cette page fournit une **méthode synthétique et opérationnelle** pour interpréter les résultats d’un `tcpdump` en se basant sur les **drapeaux TCP (flags)**, dans un objectif de **diagnostic réseau rapide**.
@@ Ligne 619: / Ligne 584: @@
 **Interprétation** :
-* Connexion TCP établie correctement
+ Connexion TCP établie correctement
-* Aucun problème réseau apparent
+ Aucun problème réseau apparent
 ---
@@ Ligne 631: / Ligne 596: @@
 </code>
-* **[P.]** : données envoyées
+**[P.]** : données envoyées
-* **[.]** : accusé de réception
-**Interprétation** : flux normal, application fonctionnelle.
+**[.]** : accusé de réception
+**Interprétation** :
+flux normal, application fonctionnelle.
 ---
@@ Ligne 649: / Ligne 617: @@
 **Interprétation** :
-* Fermeture TCP propre et ordonnée
+Fermeture TCP propre et ordonnée
-* Comportement attendu en fin de session
+Comportement attendu en fin de session
 ---

Wiki Kenny

Outils pour utilisateurs

Outils du site

Différences

Outils de la page