Outils pour utilisateurs
tcpdump
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
| tcpdump [2025/12/15 12:07] – [Synthese] huracan | tcpdump [2026/01/14 12:05] (Version actuelle) – [COMMANDES] huracan | ||
|---|---|---|---|
| Ligne 105: | Ligne 105: | ||
| | -v | Mode Verbose (bavard) | | -v | Mode Verbose (bavard) | ||
| | -e | Imprimer l’en-tête de la couche de liaison sur chaque ligne | | | -e | Imprimer l’en-tête de la couche de liaison sur chaque ligne | | ||
| + | | -w | écrire la sortie dans un fichier txt | | ||
| | Valeur | | Valeur | ||
| Ligne 372: | Ligne 373: | ||
| ---- | ---- | ||
| + | ==== PLUS PRECISEMENT ==== | ||
| 1. Rappel des principaux drapeaux TCP | 1. Rappel des principaux drapeaux TCP | ||
| Ligne 433: | Ligne 435: | ||
| Flags [.] | Flags [.] | ||
| | | ||
| - | Fermeture TCP ordonnée | + | * Fermeture TCP ordonnée |
| - | Comportement attendu en fin de session | + | |
| 3.4 Réinitialisation (RST) | 3.4 Réinitialisation (RST) | ||
| Ligne 444: | Ligne 446: | ||
| Interprétation possible : | Interprétation possible : | ||
| - | Port fermé | + | * Port fermé |
| - | + | | |
| - | Service non à l’écoute | + | |
| - | + | | |
| - | Timeout applicatif | + | |
| - | + | ||
| - | Pare-feu ou IPS qui coupe la connexion | + | |
| Très fréquent lors de problèmes applicatifs ou de filtrage. | Très fréquent lors de problèmes applicatifs ou de filtrage. | ||
| 3.5 SYN sans réponse (connexion impossible) | 3.5 SYN sans réponse (connexion impossible) | ||
| - | Flags [S] | ||
| - | Flags [S] | ||
| - | Flags [S] | ||
| - | + | Flags [S] | |
| - | SYN retransmis | + | Flags [S] |
| - | + | Flags [S] | |
| - | Pas de SYN-ACK | + | |
| + | * SYN retransmis | ||
| + | | ||
| Causes possibles : | Causes possibles : | ||
| - | Service indisponible | + | * Service indisponible |
| - | + | | |
| - | Filtrage réseau | + | |
| - | + | ||
| - | Problème de routage | + | |
| 3.6 SYN-ACK sans ACK final | 3.6 SYN-ACK sans ACK final | ||
| - | Flags [S.] | ||
| - | Flags [S.] | ||
| - | + | Flags [S.] | |
| - | Le serveur répond | + | Flags [S.] |
| - | + | ||
| - | Le client ne confirme pas | + | * Le serveur répond |
| + | | ||
| Causes : | Causes : | ||
| - | Problème côté client | + | * Problème côté client |
| - | + | | |
| - | Filtrage retour | + | |
| - | + | ||
| - | MTU / asymétrie réseau | + | |
| 4. Analyse des problèmes fréquents via les flags | 4. Analyse des problèmes fréquents via les flags | ||
| + | |||
| 4.1 Boucle de retransmission ACK | 4.1 Boucle de retransmission ACK | ||
| - | Flags [.] | ||
| - | Flags [.] | ||
| - | Flags [.] | ||
| + | Flags [.] | ||
| + | Flags [.] | ||
| + | Flags [.] | ||
| + | | ||
| + | ACK répétés | ||
| - | ACK répétés | + | * Indique souvent une perte de paquets |
| - | + | | |
| - | Indique souvent une perte de paquets | + | |
| - | + | ||
| - | Possiblement congestion ou MTU incorrect | + | |
| 4.2 Retransmissions SYN + RST | 4.2 Retransmissions SYN + RST | ||
| - | Flags [S] | ||
| - | Flags [R.] | ||
| + | Flags [S] | ||
| + | Flags [R.] | ||
| - | Connexion refusée immédiatement | ||
| - | Port fermé ou refus explicite | + | * Connexion refusée immédiatement |
| + | * Port fermé ou refus explicite | ||
| 4.3 FIN suivi d’un RST | 4.3 FIN suivi d’un RST | ||
| - | Flags [F.] | ||
| - | Flags [R.] | ||
| + | Flags [F.] | ||
| + | Flags [R.] | ||
| - | Fermeture anormale | + | * Fermeture anormale |
| - | + | | |
| - | Souvent applicatif (crash, timeout) | + | |
| 5. Indices complémentaires à regarder avec les flags | 5. Indices complémentaires à regarder avec les flags | ||
| Ligne 524: | Ligne 516: | ||
| Les flags seuls ne suffisent pas toujours. À corréler avec : | Les flags seuls ne suffisent pas toujours. À corréler avec : | ||
| - | Numéros de séquence (seq, ack) | + | * Numéros de séquence (seq, ack) |
| - | + | | |
| - | Fenêtre TCP (win) | + | |
| - | + | | |
| - | Options TCP (MSS, SACK, WS) | + | |
| - | + | ||
| - | Retransmissions (tcpdump -vv) | + | |
| - | + | ||
| - | Temps entre paquets | + | |
| 6. Commandes tcpdump utiles pour l’analyse des flags | 6. Commandes tcpdump utiles pour l’analyse des flags | ||
| Ligne 538: | Ligne 526: | ||
| Afficher uniquement les flags : | Afficher uniquement les flags : | ||
| - | tcpdump -nn -tt -i eth0 ' | + | |
| Voir le détail TCP : | Voir le détail TCP : | ||
| - | tcpdump -nn -vvv -i eth0 tcp | + | |
| Filtrer les RST : | Filtrer les RST : | ||
| - | tcpdump -nn ' | + | |
| Filtrer les SYN : | Filtrer les SYN : | ||
| - | tcpdump -nn ' | + | |
| 7. Méthode d’analyse recommandée | 7. Méthode d’analyse recommandée | ||
| - | Identifier le handshake | + | |
| - | Vérifier la continuité des ACK | + | Vérifier la continuité des ACK |
| - | Repérer les RST / retransmissions | + | Repérer les RST / retransmissions |
| - | Vérifier la fermeture | + | Vérifier la fermeture |
| - | Corréler avec le contexte applicatif | + | Corréler avec le contexte applicatif |
| Ligne 567: | Ligne 555: | ||
| - | ====== | + | ====== |
| Cette page fournit une **méthode synthétique et opérationnelle** pour interpréter les résultats d’un `tcpdump` en se basant sur les **drapeaux TCP (flags)**, dans un objectif de **diagnostic réseau rapide**. | Cette page fournit une **méthode synthétique et opérationnelle** pour interpréter les résultats d’un `tcpdump` en se basant sur les **drapeaux TCP (flags)**, dans un objectif de **diagnostic réseau rapide**. | ||
| Ligne 597: | Ligne 585: | ||
| **Interprétation** : | **Interprétation** : | ||
| - | * Connexion TCP établie correctement | + | Connexion TCP établie correctement |
| - | * Aucun problème réseau apparent | + | Aucun problème réseau apparent |
| --- | --- | ||
| Ligne 609: | Ligne 597: | ||
| </ | </ | ||
| - | * **[P.]** : données envoyées | + | **[P.]** : données envoyées |
| - | * **[.]** : accusé de réception | + | |
| - | **Interprétation** : flux normal, application fonctionnelle. | + | **[.]** : accusé de réception |
| + | |||
| + | **Interprétation** : | ||
| + | |||
| + | flux normal, application fonctionnelle. | ||
| --- | --- | ||
| Ligne 627: | Ligne 618: | ||
| **Interprétation** : | **Interprétation** : | ||
| - | * Fermeture TCP propre et ordonnée | + | Fermeture TCP propre et ordonnée |
| - | * Comportement attendu en fin de session | + | |
| + | Comportement attendu en fin de session | ||
| --- | --- | ||
tcpdump.1765796838.txt.gz · Dernière modification : 2025/12/15 12:07 de huracan
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
