Filtres de capture avec Ethereal
Filtres de capture avec Ethereal - Windows & Software
Marsh Posté le 26-09-2005 à 17:58:37
Bon, je pense avoir trouver la réponse en partie, ou plutot une alternative au problème.
Lorsque je décoche l'option de capture "Capture packets in promiscuous mode", les ligne de mac-control n'apparaissent plus.
Mais je n'ai pas trouvé le filtre permettant de ne pas les afficher lorsque je coche cette option. 
Par contre j'ai un autre problème bloquant :
La machine que j'analyse fait partie du réseau 192.168.0.XXX, sont IP est 192.168.0.5.
Je souhaite analyser tout le flux entrant et sortant du réseau depuis et vers cette machine ;
en clair je voudrais capturer uniquement les paquets qui communique dans les deux sens entre ma machine et des IPs autres que 192.168.0.XXX.
Or lorsque j'applique le filtre de capture suivant :
host 192.168.0.5 and not net 192.168.0.0 mask 255.255.255.0 |
Je ne capture plus rien car il filtre également mon IP 
qq'un pourrait-il me donner le filtre coorespondant à mon besoin ?
Merci 
Marsh Posté le 26-09-2005 à 18:00:37
Si T sous linux, essaye tcpdump (les options sont celles de ethereal et plus facile à mettre)
Marsh Posté le 26-09-2005 à 19:47:02
ah oui, j'ai oublié de préciser que je suis sous Windows 2000
Marsh Posté le 27-09-2005 à 12:09:04
Bon, on avance. J'ai trouvé la réponse à mon 1er problème, à savoir ne pas capturer les MAC Control :
Le filtre correspondant est le suivant :
not ether proto 0x8808 |
En clair = Ne pas capturer les paquets de protocole ethernet MAC Control (0x8808)
Par contre je bloque toujours sur mon deuxieme pb : comment capturer tous les flux entrants et sortants sur une machine sans tenir compte de ceux du réseau auquel elle appartient. 
Marsh Posté le 27-09-2005 à 12:24:10
Normalement si tu ne captures pas en mode promiscous, tu ne devrais recevoir uniquement les paquets à destination de ton PC + le broadcast.
Sujets relatifs:
- Recherche capture de Norton Ghost 9
- capturer trames avec ethereal pour denicher blaster
- Client FTP avec filtres
- Ethereal : ignorer les doublons
- Comment faire une capture d'écran sous DOS (plein écran) ?
- Capture écran login XP
- Filtre maitre, meilleur que les filtres gygognes???
- Probleme filtres windows ?
- [Fraps] compresser une capture de 2Go
- cherche driver de capture image pour pc en reseau
Marsh Posté le 21-09-2005 à 15:35:54
Bonjour,
J'utilise depuis peu Ethereal pour faire une analyse de tous les flux qui transitent sur le LAN de mon taf.
J'ai consulté la doc pour bien comprendre comment fonctionnent les filtres de capture (et non ceux de display);
mais je ne trouve pas comment lui dire de ne pas prendre en compte les paquets correspondants au contrôle des MAC adresses.
J'ai essayé l'un après l'autre ces différents filtres :
not ether proto macc
not ether proto ctrl
not macc
not ctrl
Mais aucun ne fonctionnent (syntax error)
Pourtant lorsque je lance une capture sans aucun filtre, ma log est ultra polluée par des lignes du type :
00:00:00_00:00:70 00:00:00:00:00:70 Spanning-tree-(for-bridges)_01 01:80:xx:xx:xx:01 CTRL MAC PAUSE: Quanta 0
J'en ai plus de 100 par seconde de capture
Et je voudrais qu'Ethereal les ignore
Qq'un peut-il me donner le filtre de capture exact, SVP ?
Merci d'avance