TSHARK / WIRESHARK linux
mbl00299
-
mbl00299 -
mbl00299 -
Bonjour a tous,
Je suis en train de monter une gateway d'un reseau, mais j'aimerai auditer le port 80 pour auditer les sites webs de mes users afin de faire des stats de sites visites.
Pour cela, j'ai installe un debian que j'ai configure en gateway, modifier mon resolv.conf pour ne laisser que les names servers et ai defini les priorites avec les dns du provider, puis celui de mon firewall.
J'ai installe tshark sur cette gateway avec l'option tshark -N n, qui theoriquement devrait me donner tous les noms resolus de mes internautes.
Une fois sur 30, je ressors de mon log un nom DNS.
Si je lance Wireshark en GUI sur un windows que je mets en gateway avec les memes DNS, j'ai tous les noms de domaines dans mes logs.
Est-ce que j'ai loupe un truc ou linux est-il moins puissant que windows a ce sujet ou bien est-ce un bug du tshark?
Avez vous eu ce type de pb?
Merci pour vos retours et vos conseils
Je suis en train de monter une gateway d'un reseau, mais j'aimerai auditer le port 80 pour auditer les sites webs de mes users afin de faire des stats de sites visites.
Pour cela, j'ai installe un debian que j'ai configure en gateway, modifier mon resolv.conf pour ne laisser que les names servers et ai defini les priorites avec les dns du provider, puis celui de mon firewall.
J'ai installe tshark sur cette gateway avec l'option tshark -N n, qui theoriquement devrait me donner tous les noms resolus de mes internautes.
Une fois sur 30, je ressors de mon log un nom DNS.
Si je lance Wireshark en GUI sur un windows que je mets en gateway avec les memes DNS, j'ai tous les noms de domaines dans mes logs.
Est-ce que j'ai loupe un truc ou linux est-il moins puissant que windows a ce sujet ou bien est-ce un bug du tshark?
Avez vous eu ce type de pb?
Merci pour vos retours et vos conseils
A voir également:
- TSHARK / WIRESHARK linux
- Wireshark download - Télécharger - Divers Réseau & Wi-Fi
- Linux reader - Télécharger - Stockage
- Backtrack linux - Télécharger - Sécurité
- R-linux - Télécharger - Sauvegarde
- Toutou linux - Télécharger - Systèmes d'exploitation
2 réponses
Bonjour,
C'est peut être un problème de paramètre.
La doc : https://www.wireshark.org/docs/man-pages/tshark.html
indique d'autres options :
<cite>
-N <name resolving flags>
Turn on name resolving only for particular types of addresses and port numbers, with name resolving for other types of addresses and port numbers turned off. This flag overrides -n if both -N and -n are present. If both -N and -n flags are not present, all name resolutions are turned on.
The argument is a string that may contain the letters:
m to enable MAC address resolution
n to enable network address resolution
t to enable transport-layer port number resolution
C to enable concurrent (asynchronous) DNS lookups
</cite>
Il faut peut être ajouter l'option "C" car les requetes DNS ne sont pas instantannées. Mais d'après la doc, sans aucun parametre ça doit être réglé comme il faut : à tester.
Cordialement,
C'est peut être un problème de paramètre.
La doc : https://www.wireshark.org/docs/man-pages/tshark.html
indique d'autres options :
<cite>
-N <name resolving flags>
Turn on name resolving only for particular types of addresses and port numbers, with name resolving for other types of addresses and port numbers turned off. This flag overrides -n if both -N and -n are present. If both -N and -n flags are not present, all name resolutions are turned on.
The argument is a string that may contain the letters:
m to enable MAC address resolution
n to enable network address resolution
t to enable transport-layer port number resolution
C to enable concurrent (asynchronous) DNS lookups
</cite>
Il faut peut être ajouter l'option "C" car les requetes DNS ne sont pas instantannées. Mais d'après la doc, sans aucun parametre ça doit être réglé comme il faut : à tester.
Cordialement,
Bonjour KiKi,
Je te remercie pour ta reponse, mais je crois qu'il y a un pb de rapidite de resolution et l'ecriture dans le log doit se faire avant, car ma syntaxe avec Tshark est :
-N nC
Que ce soit en Linux, Windows en mode gateway, meme probleme.
Pour info, j'ai meme essaye la gui en windows, mais ce qui est etrange c'est :
Si WireShark ou Tshark est installe sur un pc et avec cette syntaxe, cela fonctionne
Des que je les installe sur mes becannes et que je les declare en gateway, je ne recupere que les ip.
Si je positionne la sonde sur la deuxieme carte reseau (cote inet) meme pb ou sur la premiere cote lan, meme probleme.
Je pense en fait a un pb, comme tu l'indiques, de timout et il n'a pas assez de temps pour resoudre et donc ecrit l'ip directement dans le log.
C'est bien triste((
J'ai essaye egalement ngrep et il fait le meme pb
Bon bah je pense que je vais rester sur ma fin et me palucher les conversions a la mimine...domage...
Toutes bonnes idees, je suis prenneur en linux ou en windows)))
Merci
Je te remercie pour ta reponse, mais je crois qu'il y a un pb de rapidite de resolution et l'ecriture dans le log doit se faire avant, car ma syntaxe avec Tshark est :
-N nC
Que ce soit en Linux, Windows en mode gateway, meme probleme.
Pour info, j'ai meme essaye la gui en windows, mais ce qui est etrange c'est :
Si WireShark ou Tshark est installe sur un pc et avec cette syntaxe, cela fonctionne
Des que je les installe sur mes becannes et que je les declare en gateway, je ne recupere que les ip.
Si je positionne la sonde sur la deuxieme carte reseau (cote inet) meme pb ou sur la premiere cote lan, meme probleme.
Je pense en fait a un pb, comme tu l'indiques, de timout et il n'a pas assez de temps pour resoudre et donc ecrit l'ip directement dans le log.
C'est bien triste((
J'ai essaye egalement ngrep et il fait le meme pb
Bon bah je pense que je vais rester sur ma fin et me palucher les conversions a la mimine...domage...
Toutes bonnes idees, je suis prenneur en linux ou en windows)))
Merci
