Fichier tcpdump
omar_nabil
Messages postés
4
Date d'inscription
jeudi 6 avril 2006
Statut
Membre
Dernière intervention
7 avril 2006
-
6 avril 2006 à 12:59
frank_sauvage Messages postés 56 Date d'inscription jeudi 14 avril 2005 Statut Membre Dernière intervention 9 avril 2006 - 7 avril 2006 à 11:53
frank_sauvage Messages postés 56 Date d'inscription jeudi 14 avril 2005 Statut Membre Dernière intervention 9 avril 2006 - 7 avril 2006 à 11:53
9 réponses
frank_sauvage
Messages postés
56
Date d'inscription
jeudi 14 avril 2005
Statut
Membre
Dernière intervention
9 avril 2006
6 avril 2006 à 17:09
6 avril 2006 à 17:09
coucou
utilise snort et acid ;)
c'est de la libpcap,
ca genere une sortie tcpdump si l'on veut,
ca stocke dans une bdd (mysql de preference :()
et ca a une interface php..
si tu veux tout monitorer, tu enleves les regles existantes et remplace par la tienne du genre
stocker toutes les enetes..
snort est un ids..mais pas de souci, ca reste un sniffer reseau a la base :)
on dit merci a martin roesh :D
Cdlt;
FSA;
utilise snort et acid ;)
c'est de la libpcap,
ca genere une sortie tcpdump si l'on veut,
ca stocke dans une bdd (mysql de preference :()
et ca a une interface php..
si tu veux tout monitorer, tu enleves les regles existantes et remplace par la tienne du genre
stocker toutes les enetes..
snort est un ids..mais pas de souci, ca reste un sniffer reseau a la base :)
on dit merci a martin roesh :D
Cdlt;
FSA;
omar_nabil
Messages postés
4
Date d'inscription
jeudi 6 avril 2006
Statut
Membre
Dernière intervention
7 avril 2006
6 avril 2006 à 18:42
6 avril 2006 à 18:42
Merci pour ta réponse..
Mais comment je vais installer snort et comment changer ces régles pour obtenir ce que je veux ( le top 10 des protocoles, et des utilisateurs qui consomment la bande passante)..
En fait moi j'ai pensé à faire un programme java pour traiter les fichiers tcpdump et stocker les informations que je veux dans une base de données pour les visualiser à partir d'une interface web..
est-cela possible?
Mais comment je vais installer snort et comment changer ces régles pour obtenir ce que je veux ( le top 10 des protocoles, et des utilisateurs qui consomment la bande passante)..
En fait moi j'ai pensé à faire un programme java pour traiter les fichiers tcpdump et stocker les informations que je veux dans une base de données pour les visualiser à partir d'une interface web..
est-cela possible?
frank_sauvage
Messages postés
56
Date d'inscription
jeudi 14 avril 2005
Statut
Membre
Dernière intervention
9 avril 2006
6 avril 2006 à 18:50
6 avril 2006 à 18:50
re
la raison pour laquelle je te parlais de snort, c'est justement son moteur integré pour stocker en BDD les données.
maintenant tout est possible en java, mais pour ce que tu veux faire, a
part lancer tcpdump depuis java avec l'option -XX pour debug (je crois
de memoire), puis en recuperant le flux à la volée que tu devras
traiter en temps reel (+ le stockage bdd) et la tu n'auras fait que la
moitié du travail :(.
je ne sais pas precisement ce que tu cherches comme type d'interface, mais acid est hyper customisable.
je te dis ca, car je trouve un peu domage de refaire des outils alors que de trés bon existent en reseau.
pour analyser tes données, tu veux en faire voir les stats des protocoles les plus utilisés ? acid le fait.
tu veux voir tes utilisateurs ? je suppose une ip un utilisateur ? acid le fait.
je te conseil vivement de perdre 1h pour regarder les possibilités d'acid.
dis toi une chose :
installer snort 1j (je dirais 5mn mais la connection bdd est pas toujours triviale :)
installer acid 1j (pareil..5mn pour lui donner l'url de la bdd et son login/pass..mais exagerons).
lire la doc de snort et particulierermenet le chapitre sur l'ecriture
de regles 2J pour maitriser la bete de long en large...avec 4 champs
c'est pas long.
total 4J dans le pire des cas...et facilement verifiable en 1h..
sinon..te reste toujours la possibilité de recoder la partie extraction de la BDD.
Cdlt;
FSA;
la raison pour laquelle je te parlais de snort, c'est justement son moteur integré pour stocker en BDD les données.
maintenant tout est possible en java, mais pour ce que tu veux faire, a
part lancer tcpdump depuis java avec l'option -XX pour debug (je crois
de memoire), puis en recuperant le flux à la volée que tu devras
traiter en temps reel (+ le stockage bdd) et la tu n'auras fait que la
moitié du travail :(.
je ne sais pas precisement ce que tu cherches comme type d'interface, mais acid est hyper customisable.
je te dis ca, car je trouve un peu domage de refaire des outils alors que de trés bon existent en reseau.
pour analyser tes données, tu veux en faire voir les stats des protocoles les plus utilisés ? acid le fait.
tu veux voir tes utilisateurs ? je suppose une ip un utilisateur ? acid le fait.
je te conseil vivement de perdre 1h pour regarder les possibilités d'acid.
dis toi une chose :
installer snort 1j (je dirais 5mn mais la connection bdd est pas toujours triviale :)
installer acid 1j (pareil..5mn pour lui donner l'url de la bdd et son login/pass..mais exagerons).
lire la doc de snort et particulierermenet le chapitre sur l'ecriture
de regles 2J pour maitriser la bete de long en large...avec 4 champs
c'est pas long.
total 4J dans le pire des cas...et facilement verifiable en 1h..
sinon..te reste toujours la possibilité de recoder la partie extraction de la BDD.
Cdlt;
FSA;
frank_sauvage
Messages postés
56
Date d'inscription
jeudi 14 avril 2005
Statut
Membre
Dernière intervention
9 avril 2006
6 avril 2006 à 18:52
6 avril 2006 à 18:52
question : c'est pour toi au travail ? ou un sujet de fac ?
dans le 2e cas..c'est sur qu'il va falloir coder ^^
dans le 2e cas..c'est sur qu'il va falloir coder ^^
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
omar_nabil
Messages postés
4
Date d'inscription
jeudi 6 avril 2006
Statut
Membre
Dernière intervention
7 avril 2006
6 avril 2006 à 19:05
6 avril 2006 à 19:05
merci encore une fois..
je vais essayer ce que tu m'as dis..et j'espère que ca va fonctionner..
je fait une petite recherche sur l'ACID et j'ai trouvé qu'il permet d'afficher les alertes de snort dans l'interface web..mais je vais cherché davantage pour voir ce je peux faire..
merci..
je vais essayer ce que tu m'as dis..et j'espère que ca va fonctionner..
je fait une petite recherche sur l'ACID et j'ai trouvé qu'il permet d'afficher les alertes de snort dans l'interface web..mais je vais cherché davantage pour voir ce je peux faire..
merci..
frank_sauvage
Messages postés
56
Date d'inscription
jeudi 14 avril 2005
Statut
Membre
Dernière intervention
9 avril 2006
6 avril 2006 à 19:11
6 avril 2006 à 19:11
P.S. dans snort : une alerte c'est un paquet qui corresponds a une
regle...donc si tu fais une regle tous les paquets...bah tu auras tous
les paquets d'enregistrés.
par contre, attention a la taille de la bdd..meme avec juste les
entetes (pour dst/src protocole)...sur un reseau un peu utilisé ca
risque de monter tres vite...
(dans le cas avec ou sans snort d'ailleurs).
FSA;
regle...donc si tu fais une regle tous les paquets...bah tu auras tous
les paquets d'enregistrés.
par contre, attention a la taille de la bdd..meme avec juste les
entetes (pour dst/src protocole)...sur un reseau un peu utilisé ca
risque de monter tres vite...
(dans le cas avec ou sans snort d'ailleurs).
FSA;
omar_nabil
Messages postés
4
Date d'inscription
jeudi 6 avril 2006
Statut
Membre
Dernière intervention
7 avril 2006
7 avril 2006 à 11:43
7 avril 2006 à 11:43
Bonjour.
en fait ce que je fait c ds la cadre d'un stage..c'est pour cela que je veux coder moi meme( question de valeur ajoutée)...d'ailleurs g voulu commencé par transformer un fichier tcpdump en BD en utilisant java..mais avant je vais voir ce ke tu ma proposé..
en fait ce que je fait c ds la cadre d'un stage..c'est pour cela que je veux coder moi meme( question de valeur ajoutée)...d'ailleurs g voulu commencé par transformer un fichier tcpdump en BD en utilisant java..mais avant je vais voir ce ke tu ma proposé..
frank_sauvage
Messages postés
56
Date d'inscription
jeudi 14 avril 2005
Statut
Membre
Dernière intervention
9 avril 2006
7 avril 2006 à 11:51
7 avril 2006 à 11:51
no souci :)
si tu as besoin d'infos..pour ce que je t'ai dis ou le reste plus tard ;)
++
FSA;
si tu as besoin d'infos..pour ce que je t'ai dis ou le reste plus tard ;)
++
FSA;
frank_sauvage
Messages postés
56
Date d'inscription
jeudi 14 avril 2005
Statut
Membre
Dernière intervention
9 avril 2006
7 avril 2006 à 11:53
7 avril 2006 à 11:53
ah j'oubliais
si vraiment tu veux recorder toi meme les paquets..
en fait tcpdump, snort c'est le meme moteur la libpcap
en java, il existe un portage jpcap.
ca te zappera au moins la connection tcpdump/java ;)
si vraiment tu veux recorder toi meme les paquets..
en fait tcpdump, snort c'est le meme moteur la libpcap
en java, il existe un portage jpcap.
ca te zappera au moins la connection tcpdump/java ;)
