Wireshark : fichier de log
Wireshark : fichier de log - Logiciels d'entreprise - Systèmes & Réseaux Pro
Marsh Posté le 20-03-2008 à 18:17:38
dans les options de la capture, tu peux faire un filtre directement, pour que wireshark ne capture que ce qui correspond a ton filtre.
Attention, il s'agit d'un filtre de type tcpdump.
J'espere que c'est ce que tu attendais.
Marsh Posté le 20-03-2008 à 21:34:18
+1, dans wireshark tu as les filtres de capture et les filtre d'affichage.
Par contre en filtre de capture c'est pas aussi puissant que les filtres d'affichage
Marsh Posté le 21-03-2008 à 10:47:54
En utilisant un filtre de capture, les trames qui ne correspondent pas aux filtres ne seront donc pas logguer ?
Je vais tester ca de suite!
Merci de vos réponse 
Marsh Posté le 21-03-2008 à 11:16:42
Apparemment le protocole Bittorrent n'est reconnu que pour les filtre d'affichage 
En filtre de capture il me ressort l'erreur suivante
| Citation : Invalid capture filter: "bittorrent"! |
Pareil si j'utilise le filtre : tcp port bittorrent (j'ai vu ca dans un exemple, je pensais que cela ne marcherait pas et j'ai eu raison 
Je suis en train d'éplucher toute l'aide sur les filtres, je vous tiens au courant si j'ai du nouveau. 
Marsh Posté le 21-03-2008 à 15:29:30
Bon j'ai trouvé des infos sur le net qui confirme ce que je pensais. Les filtres de capture ne gère que les protocoles tcp, udp, icmp et quelques autres, mais pas les protocoles comme bittorrent !
Donc pas moyen de faire des filtres assez puissant
Bref c'est con pour moi ^^
Marsh Posté le 22-03-2008 à 17:50:26
hmmm
En regardant rapidement sur internet je vois que bittorent utilise des ports précis.
"en règle générale : les ports 6881 à 6889 mais aussi parfois les ports 6969 et 7000"
Dans ce cas c'est tres simple:
j'utilise tcpdump:
tcpdump -ni any -s0 -n -w bittorentlamer portrange 6881-6889 and port 6969 and port 7000
et j'ouvre avec wireshark le fichier bittorentlamer.
Sinon pour c'est du vrai filtrage protocolaire qu'il va te falloir et là...je crois que c'est pas gratuit.
cordialement,
--
acka47
j'reste underground donc j'reste intégre que mircosoft me tienne bien l'zgeg
Marsh Posté le 23-03-2008 à 18:52:16
Dans mes scans wireshark, je n'ai pas le souvenir que les ports utilisés étaient ceux que tu cites.
La plus part des client torrent affectent un port aléatoire donc je pense pas que ca soit la solution, je vérifierais au cas ou je me plante !
Merci pour l'info en tout cas
Sujets relatifs:
- [ Suprimer un fichier utilisé par une autre ressource ]
- GSPACE - Problème fichier tronqué
- Questions aux pros - Recherche fichier .exe par ordinateur
- Deploiement de fichier MSI avec Ad et Seveur 2003
- partage fichier File maker par FTP
- Faire un export vers un fichier de machine inscrite dans active direct
- Fichier Excel & AD
- Pb d'éxécution de fichier .exe pour les utilisateurs
Marsh Posté le 20-03-2008 à 14:12:01
Bonjour a tous
)
A cause de recherches infructueuses je me tourne vers vous
Voila j'utilise comme beaucoup le logiciel wireshark (ex éthereal) pour vérifier de temps en temps comment tourne le lan de la société dans laquelle je bosse et surtout pour voir si il n'y a pas de trafic Bittorrent (saloperie de patch Wow
Je récupère tout le trafic réseaux entrant dans le lan ou sortant vers internet sur un petit serveur sous linux, et vu qu'on a une centaine de machine et un nombre de transfert de fichier très important, le fichier qui log les trames devient vite énorme (10 minute de scan pour 1GO de log)
Je sais que wireshark n'est pas fait pour faire des scans sur la durée mais j'aimerais savoir si il n'y avait pas un moyen de loguer que les trames que je veux scanner ? Même avec des filtres pour ne voir que le bittorrent, wireshark log toutes les trames (tcp, udp, icmp, etc...).
Etant donné que les téléchargements bittorrent sont pas très fréquents, le fichier de log serait grandement allégé!!
Je vous remercie d'avance d'avoir prêté attention à ce post
Message édité par Cyr1u$ le 20-03-2008 à 14:20:32