Outils pour utilisateurs
tcpdump
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
| tcpdump [2025/12/15 12:14] – huracan | tcpdump [2026/01/14 12:05] (Version actuelle) – [COMMANDES] huracan | ||
|---|---|---|---|
| Ligne 105: | Ligne 105: | ||
| | -v | Mode Verbose (bavard) | | -v | Mode Verbose (bavard) | ||
| | -e | Imprimer l’en-tête de la couche de liaison sur chaque ligne | | | -e | Imprimer l’en-tête de la couche de liaison sur chaque ligne | | ||
| + | | -w | écrire la sortie dans un fichier txt | | ||
| | Valeur | | Valeur | ||
| Ligne 434: | Ligne 435: | ||
| Flags [.] | Flags [.] | ||
| | | ||
| - | Fermeture TCP ordonnée | + | * Fermeture TCP ordonnée |
| - | Comportement attendu en fin de session | + | |
| 3.4 Réinitialisation (RST) | 3.4 Réinitialisation (RST) | ||
| Ligne 445: | Ligne 446: | ||
| Interprétation possible : | Interprétation possible : | ||
| - | Port fermé | + | * Port fermé |
| - | Service non à l’écoute | + | |
| - | Timeout applicatif | + | |
| - | Pare-feu ou IPS qui coupe la connexion | + | |
| Très fréquent lors de problèmes applicatifs ou de filtrage. | Très fréquent lors de problèmes applicatifs ou de filtrage. | ||
| Ligne 458: | Ligne 459: | ||
| Flags [S] | Flags [S] | ||
| | | ||
| - | SYN retransmis | + | * SYN retransmis |
| - | Pas de SYN-ACK | + | |
| Causes possibles : | Causes possibles : | ||
| - | Service indisponible | + | |
| - | Filtrage réseau | + | |
| - | Problème de routage | + | |
| 3.6 SYN-ACK sans ACK final | 3.6 SYN-ACK sans ACK final | ||
| Ligne 472: | Ligne 473: | ||
| Flags [S.] | Flags [S.] | ||
| | | ||
| - | Le serveur répond | + | |
| - | Le client ne confirme pas | + | |
| Causes : | Causes : | ||
| - | Problème côté client | + | |
| - | Filtrage retour | + | |
| - | MTU / asymétrie réseau | + | |
| 4. Analyse des problèmes fréquents via les flags | 4. Analyse des problèmes fréquents via les flags | ||
| + | |||
| 4.1 Boucle de retransmission ACK | 4.1 Boucle de retransmission ACK | ||
| Ligne 490: | Ligne 492: | ||
| ACK répétés | ACK répétés | ||
| - | Indique souvent une perte de paquets | + | * Indique souvent une perte de paquets |
| - | Possiblement congestion ou MTU incorrect | + | |
| 4.2 Retransmissions SYN + RST | 4.2 Retransmissions SYN + RST | ||
| - | Flags [S] | ||
| - | Flags [R.] | ||
| + | Flags [S] | ||
| + | Flags [R.] | ||
| - | Connexion refusée immédiatement | ||
| - | Port fermé ou refus explicite | + | * Connexion refusée immédiatement |
| + | * Port fermé ou refus explicite | ||
| 4.3 FIN suivi d’un RST | 4.3 FIN suivi d’un RST | ||
| - | Flags [F.] | ||
| - | Flags [R.] | ||
| + | Flags [F.] | ||
| + | Flags [R.] | ||
| - | Fermeture anormale | + | * Fermeture anormale |
| - | + | | |
| - | Souvent applicatif (crash, timeout) | + | |
| 5. Indices complémentaires à regarder avec les flags | 5. Indices complémentaires à regarder avec les flags | ||
| Ligne 515: | Ligne 516: | ||
| Les flags seuls ne suffisent pas toujours. À corréler avec : | Les flags seuls ne suffisent pas toujours. À corréler avec : | ||
| - | Numéros de séquence (seq, ack) | + | * Numéros de séquence (seq, ack) |
| - | + | | |
| - | Fenêtre TCP (win) | + | |
| - | + | | |
| - | Options TCP (MSS, SACK, WS) | + | |
| - | + | ||
| - | Retransmissions (tcpdump -vv) | + | |
| - | + | ||
| - | Temps entre paquets | + | |
| 6. Commandes tcpdump utiles pour l’analyse des flags | 6. Commandes tcpdump utiles pour l’analyse des flags | ||
| Ligne 529: | Ligne 526: | ||
| Afficher uniquement les flags : | Afficher uniquement les flags : | ||
| - | tcpdump -nn -tt -i eth0 ' | + | |
| Voir le détail TCP : | Voir le détail TCP : | ||
| - | tcpdump -nn -vvv -i eth0 tcp | + | |
| Filtrer les RST : | Filtrer les RST : | ||
| - | tcpdump -nn ' | + | |
| Filtrer les SYN : | Filtrer les SYN : | ||
| - | tcpdump -nn ' | + | |
| 7. Méthode d’analyse recommandée | 7. Méthode d’analyse recommandée | ||
| - | Identifier le handshake | + | |
| - | Vérifier la continuité des ACK | + | Vérifier la continuité des ACK |
| - | Repérer les RST / retransmissions | + | Repérer les RST / retransmissions |
| - | Vérifier la fermeture | + | Vérifier la fermeture |
| - | Corréler avec le contexte applicatif | + | Corréler avec le contexte applicatif |
| Ligne 588: | Ligne 585: | ||
| **Interprétation** : | **Interprétation** : | ||
| - | * Connexion TCP établie correctement | + | Connexion TCP établie correctement |
| - | * Aucun problème réseau apparent | + | Aucun problème réseau apparent |
| --- | --- | ||
| Ligne 600: | Ligne 597: | ||
| </ | </ | ||
| - | * **[P.]** : données envoyées | + | **[P.]** : données envoyées |
| - | * **[.]** : accusé de réception | + | |
| - | **Interprétation** : flux normal, application fonctionnelle. | + | **[.]** : accusé de réception |
| + | |||
| + | **Interprétation** : | ||
| + | |||
| + | flux normal, application fonctionnelle. | ||
| --- | --- | ||
| Ligne 618: | Ligne 618: | ||
| **Interprétation** : | **Interprétation** : | ||
| - | * Fermeture TCP propre et ordonnée | + | Fermeture TCP propre et ordonnée |
| - | * Comportement attendu en fin de session | + | |
| + | Comportement attendu en fin de session | ||
| --- | --- | ||
tcpdump.1765797262.txt.gz · Dernière modification : 2025/12/15 12:14 de huracan
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
