This article needs to be translated

This article has been copied from the old wiki and is in french. It needs to be translated into english. If you wish to participate, please send a mail to (click to reveal email)

Tcpflow

Description

Tcpflow est un programme de capture de données (connexions TCP) qui permet le stockage et la présentation de ces données de manière structurée, à des fins d'analyse. Ce programme découpe un fichier en plusieurs fichiers de flux. Il est capable d'analyser les numéros de séquence afin de reconstruire les flux. La prise en charge de la fragementation IP n'est pour le moment pas supportée.

Installation

Pré-requis

Installation de libpcap.

Installation à partir des sources

# wget http://www.circlemud.org/pub/jelson/tcpflow/tcpflow-0.21.tar.gz
# tar xzvf tcpflow-0.21.tar.gz
# cd tcpflow-0.21/
# ./configure
# make
# make install

Utilisation

Syntaxe de base

tcpflow [options] [filtres]

Options

Les options de Tcpflow sont les suivantes :

-b
       Limite (en bytes) de taille de capture pour chaque flux.

-c
       Permet une sortie stdout directement, sans créer de fichier.

-d {n}
       Niveau de debug. {n} vaut 0 à 10, 0 étant la suppression de tout
       message et 10 le niveau de verbosité maximum. Le niveau par défaut
       est 1.

-f
       Nombre maximum de file descriptors.

-h
       Affiche l'aide sur les options. Plus d'informations pourront être
       trouvées en entrant man tcpflow.

-i
       Interface à utiliser pour la capture

-p
       Bloque le mode promiscuité. Tcpflow active par défaut le mode
       promiscuité de la carte pour la capture.

-r
       Lecture à partir d'un fichier de capture au format tcpdump

-s
       N'affiche pas le caractères non imprimables. Ces derniers sont
       remplacés le cas échéant par des points ('.').

-v
       Active le mode de verbosité. Equivalent à -d 10.

Filtres

Les filtres sont les mêmes que pour tcpdump. Voir ici filtres BPF.

Désinstallation

# cd /usr/local/src/tcpflow-0.21/
# make uninstall