Astuces/Linux/Surveillance-r\303\251seau.md
... ...
@@ -0,0 +1,120 @@
1
+Surveillance powered by Linux
2
+=============================
3
+
4
+
5
+Un petit recensement de quelques utilitaires de surveillance de réseau utiles ou pas, ça dépend de vos besoins :)
6
+
7
+PS : Ne pas abuser de ces commandes a des fins malicieuses, les données des autres ne nous concernent pas !
8
+
9
+## tcpdump
10
+
11
+La commande la plus connue pour la capture de paquets par excellence. Par défaut la commande retourne tous les paquets qui passent sur le réseau (a savoir tout ce qui passe sur le switch d'un bâtiment par exemple).
12
+
13
+```
14
+23:28:09.542847 IP hwq.maisel.enst-bretagne.fr.netbios-ns > 172.16.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
15
+23:28:09.543616 IP wafer.maisel.enst-bretagne.fr.32786 > noboot.maisel.enst-bretagne.fr.domain: 34478+ PTR? 255.255.16.172.in-addr.arpa. (45)
16
+23:28:09.545736 IP noboot.maisel.enst-bretagne.fr.domain > wafer.maisel.enst-bretagne.fr.32786: 34478 NXDomain* 0/1/0 (126)
17
+23:28:09.546006 IP wafer.maisel.enst-bretagne.fr.32786 > noboot.maisel.enst-bretagne.fr.domain: 34479+ PTR? 152.25.16.172.in-addr.arpa. (44)
18
+```
19
+
20
+Un meilleur filtrage peut se faire avec les option -nq
21
+
22
+```
23
+23:28:55.520504 IP 172.16.25.152.137 > 172.16.255.255.137: UDP, length: 50
24
+23:28:55.575918 IP 64.236.34.4.5190 > 172.16.29.29.33388: tcp 1408
25
+23:28:55.581726 IP 64.236.34.4.5190 > 172.16.29.29.33388: tcp 1408
26
+23:28:55.632153 IP 64.236.34.4.5190 > 172.16.29.29.33388: tcp 256
27
+```
28
+
29
+Un filtrage par protocole peut etre fait aussi exemple pour les connexions tcp
30
+
31
+```
32
+# tcpdump -nq tcp
33
+23:33:15.430157 IP 64.236.34.4.5190 > 172.16.29.29.33388: tcp 1408
34
+23:33:15.486168 IP 64.236.34.4.5190 > 172.16.29.29.33388: tcp 1408
35
+23:33:15.503876 IP 64.236.34.4.5190 > 172.16.29.29.33388: tcp 1408
36
+23:33:15.543694 IP 64.236.34.4.5190 > 172.16.29.29.33388: tcp 1408
37
+23:33:15.543753 IP 172.16.29.29.33388 > 64.236.34.4.5190: tcp 0
38
+```
39
+
40
+`man tcpdump` pour toutes les options possibles et imaginables
41
+
42
+## Ethereal
43
+
44
+Big Brother de tcpdump mais avec une interface graphique qui permet de filtrer les captures de paquets suivant ce que l'utilisateur recherche. Plusieurs protocoles sont recenses et l'application permet de regarder les paquets un par un en détail pour les fous d'hexadecimal ou autre :)
45
+
46
+## ngrep
47
+
48
+Network Grep, assez violent sans aucune option mais très puissant comme outil
49
+
50
+```
51
+T 64.236.34.4:5190 -> 172.16.29.29:33388 [A]
52
+ 7=.,....4&l.8`0^.-. .I9m...<...].....]$..pd..B.J..)..(B;%,...ekll0i...r...J...V.}......".Vs.dc.=#..W.._...........Vu......kY.>.
53
+ .d....C...&..C.`..,..h].G....../<..?..R.b........%..3.i.(......+...EL...j..26.....Q,....3..Y..Q.....).....?,..0....~>pi.f...W..
54
+ ../....RK `....h.t..8.$G.......1>..4..[o...ZH.,.J.Cy`..Yr.....=#xB.+i:.%.......K...0$r..n.M.O,......rd.."}$_.&../............x.
55
+ ../| ..s...*.._|.l.bb..........]a.;.......................O.......U.iQ.).hz*K.$.~..f...(...s...x.....x........"..-.6....IH...>.
56
+ .{.a_...........M...U...@.YFNi.........h.Y.....{.=.\.a8.3........1l...]`1...........Al,.D...z.?......... .pa`#M....w..%J..T.I..
57
+ ...(..E...........m..9..t...%....pd...x5.i..r*..m."..H.}..ah..0t..2.+..&..r.S.....r?.dt[.#N......^.._R........{7o.`.@.`pJ....v.
58
+ ...............V..L2,L.GK.X"..idr.I0....~...B..9=.(y2U.f.0.....o.BZfg...I;Z.k~@V...oAJoh.lR$O.-.G.(....\NAIx|..................
59
+ I%.K..H.m.....].>..iEz~..........a.^E.J.m.@ ..H.p..F$..$].......y......&~.W,.y....H..D.j.)..rd....+.if.Z1..=."....s..e....4....
60
+ .B'.N.C...."..l6..[...h......&..HR.f4....r..0#aB....2q.........E8..R/.i[...J.f,..Bn8,,..C..'"$...x|dL..Q.#..c...7..wv..`..^E@..
61
+ .....%...V+:.KI5I.uX........=............#.5(../.x.Q....D.@.`sm.y0.....P.\....c^.....J).M.Z..m.{.......@M..D...........r<.@%$..
62
+ ..EBUr..../kDz....B.i....pd....%]...r- L-.b....}..ap...4`....f....'V.UUUc...a.........._)K.r........GS..d....../.. ....g...*.w.
63
+ .......g...
64
+##
65
+```
66
+
67
+On peut lui intégrer tout plein de filtres assez sympathiques et puissants, même des regex pour les fans !
68
+
69
+## potion
70
+
71
+Outil aussi sympathique qui capture tous les trafics passant sur le réseau et les tris dynamiquement suivant l'adresse IP source et destination avec des statistiques.
72
+
73
+```
74
+# potion eth0
75
+ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄÄÄÄÄÄÄÄÄÄÂÄÄÄÄ
76
+Source ³ Destination ³ Protocol ³ Avg Rate
77
+ÃÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄ
78
+64.236.34.4:5190 ³ 172.16.29.29:33388 tcp ³ 105.2k
79
+192.108.115.2:8080 ³ 172.16.29.29:33639 tcp ³ 9.0k
80
+172.16.23.6:6767 ³ 172.16.29.29:33055 tcp ³ 2.4k
81
+172.16.29.29:33639 ³ 192.108.115.2:8080 tcp ³ 931.4
82
+172.16.23.159:68 ³ 255.255.255.255:67 udp ³ 684.0
83
+172.16.25.152:137 ³ 172.16.255.255:137 udp ³ 568.7
84
+172.16.23.254:68 ³ 255.255.255.255:67 udp ³ 364.8
85
+172.16.24.69:5353 ³ 224.0.0.251:5353 udp ³ 330.7
86
+172.16.29.29:33055 ³ 172.16.23.6:6767 tcp ³ 276.0
87
+```
88
+
89
+## scanssh
90
+
91
+Outil qui scanne des machines a la recherche de proxy ou de serveurs SSH ouverts
92
+
93
+## Nmap
94
+
95
+Scanneur de machines assez puissant, qui peut entre autre faire un listing des ports ouverts sur machine
96
+
97
+```
98
+#nmap localhost
99
+
100
+21/tcp open ftp
101
+22/tcp open ssh
102
+25/tcp open smtp
103
+80/tcp open http
104
+3306/tcp open mysql
105
+19150/tcp open gkrellmd
106
+```
107
+
108
+## lsof
109
+
110
+Une commande unix qui permet de voir quel programme utilise quel fichier ou quel port sur la machine locale.
111
+
112
+
113
+`lsof -i` donne la liste des programmes et des ports ouverts
114
+
115
+## netstat
116
+pour voir les connexions réseau ouvertes en local. Il y a plein de paramètres possibles, une des combinaisons assez simples à retenir est :
117
+
118
+```
119
+#netstat -taupe
120
+```
... ...
\ No newline at end of file