Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tcpdump [2025/12/15 12:07] – [Synthese] huracan
+++ tcpdump [2025/12/16 09:00] (Version actuelle) – [4. Fermeture de connexion] huracan
@@ Ligne 372: / Ligne 372: @@
 ----
+==== PLUS PRECISEMENT ====
 . Rappel des principaux drapeaux TCP
@@ Ligne 433: / Ligne 434: @@
   Flags [.]
-  Fermeture TCP ordonnée
+  *   Fermeture TCP ordonnée
-  Comportement attendu en fin de session
+  *   Comportement attendu en fin de session
 .4 Réinitialisation (RST)
@@ Ligne 444: / Ligne 445: @@
 Interprétation possible :
-Port fermé
+  *   Port fermé
+  *   Service non à l’écoute
-Service non à l’écoute
+  *   Timeout applicatif
+  *   Pare-feu ou IPS qui coupe la connexion
-Timeout applicatif
-Pare-feu ou IPS qui coupe la connexion
 Très fréquent lors de problèmes applicatifs ou de filtrage.
 .5 SYN sans réponse (connexion impossible)
-Flags [S]
-Flags [S]
-Flags [S]
+  Flags [S]
-SYN retransmis
+  Flags [S]
+  Flags [S]
-Pas de SYN-ACK
+  *   SYN retransmis
+  *   Pas de SYN-ACK
 Causes possibles :
-Service indisponible
+  * Liste à puceService indisponible
+  *   Filtrage réseau
-Filtrage réseau
+  *   Problème de routage
-Problème de routage
 .6 SYN-ACK sans ACK final
-Flags [S.]
-Flags [S.]
+  Flags [S.]
-Le serveur répond
+  Flags [S.]
-Le client ne confirme pas
+  * Liste à puceLe serveur répond
+  * Liste à puceLe client ne confirme pas
 Causes :
-Problème côté client
+  * Liste à puceProblème côté client
+  * Liste à puceFiltrage retour
-Filtrage retour
+  * Liste à puceMTU / asymétrie réseau
-MTU / asymétrie réseau
 . Analyse des problèmes fréquents via les flags
 .1 Boucle de retransmission ACK
-Flags [.]
-Flags [.]
-Flags [.]
+  Flags [.]
+  Flags [.]
+  Flags [.]
+  ACK répétés
-ACK répétés
+  * Liste à puceIndique souvent une perte de paquets
+  * Liste à pucePossiblement congestion ou MTU incorrect
-Indique souvent une perte de paquets
-Possiblement congestion ou MTU incorrect
 .2 Retransmissions SYN + RST
-Flags [S]
-Flags [R.]
+  Flags [S]
+  Flags [R.]
-Connexion refusée immédiatement
-Port fermé ou refus explicite
+  * Liste à puceConnexion refusée immédiatement
+  * Liste à pucePort fermé ou refus explicite
 .3 FIN suivi d’un RST
-Flags [F.]
-Flags [R.]
+  Flags [F.]
+  Flags [R.]
-Fermeture anormale
+  * Liste à puceFermeture anormale
+  * Liste à puceSouvent applicatif (crash, timeout)
-Souvent applicatif (crash, timeout)
 . Indices complémentaires à regarder avec les flags
@@ Ligne 524: / Ligne 515: @@
 Les flags seuls ne suffisent pas toujours. À corréler avec :
-Numéros de séquence (seq, ack)
+    * Liste à puceNuméros de séquence (seq, ack)
+    * Liste à puceFenêtre TCP (win)
-Fenêtre TCP (win)
+    * Liste à puceOptions TCP (MSS, SACK, WS)
+    * Liste à puceRetransmissions (tcpdump -vv)
-Options TCP (MSS, SACK, WS)
+    * Liste à puceTemps entre paquets
-Retransmissions (tcpdump -vv)
-Temps entre paquets
 . Commandes tcpdump utiles pour l’analyse des flags
@@ Ligne 538: / Ligne 525: @@
 Afficher uniquement les flags :
-tcpdump -nn -tt -i eth0 'tcp'
+  tcpdump -nn -tt -i eth0 'tcp'
 Voir le détail TCP :
-tcpdump -nn -vvv -i eth0 tcp
+  tcpdump -nn -vvv -i eth0 tcp
 Filtrer les RST :
-tcpdump -nn 'tcp[tcpflags] & tcp-rst != 0'
+  tcpdump -nn 'tcp[tcpflags] & tcp-rst != 0'
 Filtrer les SYN :
-tcpdump -nn 'tcp[tcpflags] & tcp-syn != 0'
+  tcpdump -nn 'tcp[tcpflags] & tcp-syn != 0'
 . Méthode d’analyse recommandée
-Identifier le handshake
+  Identifier le handshake
-Vérifier la continuité des ACK
+  Vérifier la continuité des ACK
-Repérer les RST / retransmissions
+  Repérer les RST / retransmissions
-Vérifier la fermeture
+  Vérifier la fermeture
-Corréler avec le contexte applicatif
+  Corréler avec le contexte applicatif
@@ Ligne 567: / Ligne 554: @@
-====== Interprétation des flags TCP dans tcpdump ======
+====== CHEAT SHEET flags TCP dans tcpdump ======
 Cette page fournit une **méthode synthétique et opérationnelle** pour interpréter les résultats d’un `tcpdump` en se basant sur les **drapeaux TCP (flags)**, dans un objectif de **diagnostic réseau rapide**.
@@ Ligne 597: / Ligne 584: @@
 **Interprétation** :
-* Connexion TCP établie correctement
+ Connexion TCP établie correctement
-* Aucun problème réseau apparent
+ Aucun problème réseau apparent
 ---
@@ Ligne 609: / Ligne 596: @@
 </code>
-* **[P.]** : données envoyées
+**[P.]** : données envoyées
-* **[.]** : accusé de réception
-**Interprétation** : flux normal, application fonctionnelle.
+**[.]** : accusé de réception
+**Interprétation** :
+flux normal, application fonctionnelle.
 ---
@@ Ligne 627: / Ligne 617: @@
 **Interprétation** :
-* Fermeture TCP propre et ordonnée
+Fermeture TCP propre et ordonnée
-* Comportement attendu en fin de session
+Comportement attendu en fin de session
 ---

Wiki Kenny

Outils pour utilisateurs

Outils du site

Différences

Outils de la page