Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:lagrenouille:tutos:quelques-commandes-dns [07/06/2023 22:07] lagrenouille [Titre de Votre Tuto] |
utilisateurs:lagrenouille:tutos:quelques-commandes-dns [07/06/2023 22:21] lagrenouille [Utilisation] |
||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
- | ===== Installation =====kk | + | ===== Installation ===== |
+ | <code root>apt install dsniff dnstracer dnstop</code> | ||
===== Utilisation ===== | ===== Utilisation ===== | ||
+ | |||
+ | dsniff Divers outils pour écouter le trafic réseau pour des insécurités de texte en clair | ||
+ | |||
+ | dsniff est un renifleur de mot de passe | ||
+ | dsniff est un renifleur de mot de passe qui gère FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, | ||
+ | IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, | ||
+ | IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI | ||
+ | |||
+ | Protocoles Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase et Microsoft SQL. | ||
+ | |||
+ | dsniff détecte automatiquement et analyse au minimum chaque protocole d'application, en sauvegardant uniquement | ||
+ | les bits intéressants et utilise Berkeley DB comme format de fichier de sortie, ne journalisant que | ||
+ | tentatives d'authentification. Le réassemblage TCP/IP complet est fourni par libnids (3). | ||
+ | |||
+ | | ||
+ | OPTIONS | ||
+ | |||
+ | -c Effectue un réassemblage de flux TCP semi-duplex, pour gérer le trafic acheminé de manière asymétrique | ||
+ | (comme lors de l'utilisation de arpspoof (8) pour intercepter le trafic client à destination du | ||
+ | passerelle). | ||
+ | |||
+ | -d Activer le mode de débogage. | ||
+ | |||
+ | -m Activer la détection automatique du protocole. | ||
+ | |||
+ | -n Ne résout pas les adresses IP en noms d'hôte. | ||
+ | |||
+ | -i interface | ||
+ | Spécifiez l'interface sur laquelle écouter. | ||
+ | |||
+ | -p fichiercap | ||
+ | Plutôt que de traiter le contenu des paquets observés lors du processus réseau | ||
+ | le fichier de capture PCAP donné. | ||
+ | |||
+ | -s snaplen | ||
+ | Analyse au maximum les premiers octets snaplen de chaque connexion TCP, plutôt que | ||
+ | par défaut de 1024. | ||
+ | |||
+ | -f services | ||
+ | Charge les déclencheurs à partir d'un fichier de services . | ||
+ | |||
+ | -t déclencheur [,...] | ||
+ | Charger les déclencheurs à partir d'une liste séparée par des virgules, spécifié comme port / proto = service (par exemple | ||
+ | 80/tcp=http). | ||
+ | |||
+ | -r savefile | ||
+ | Lit les sessions reniflées à partir d'un fichier de sauvegarde créé avec l' option -w . | ||
+ | |||
+ | -w fichier | ||
+ | Ecrit les sessions reniflées dans le fichier de sauvegarde plutôt que de les analyser et de les imprimer. | ||
+ | |||
+ | expression | ||
+ | Spécifiez une expression de filtre tcpdump (8) pour sélectionner le trafic à renifler. | ||
+ | |||
+ | Sur un signal de raccrochage, dsniff videra sa table de déclenchement actuelle dans dsniff.services . | ||
+ | |||
+ | /////////////////////////////////////////////////////////////// | ||
+ | |||
+ | dnstracer suivi des requêtes DNS jusqu'à leur source | ||
+ | |||
+ | -r retries : nombre de tentatives pour les requêtes DNS, par défaut 3 | ||
+ | |||
+ | <code root> dnstracer -r 3 -v debian.facile.org</code> | ||
+ | |||
+ | -v verbose | ||
+ | |||
+ | -4 : ne pas interroger les serveurs IPv6 | ||
+ | |||
+ | -c : désactivation de la mise en cache locale, activée par défaut | ||
+ | |||
+ | -C : active la mise en cache négative, désactivée par défaut | ||
+ | |||
+ | -o : permet d'obtenir un aperçu des réponses reçues, désactivé par défaut | ||
+ | |||
+ | -q querytype : type de requête à utiliser pour les demandes DNS, par défaut A | ||
+ | |||
+ | -s server : utilisation de ce serveur pour la requête initiale, par défaut localhost | ||
+ | |||
+ | Si . est spécifié, A.ROOT-SERVERS.NET sera utilisé. | ||
+ | |||
+ | -t durée maximale : Limite du temps d'attente par tentative | ||
+ | |||
+ | -v : verbeux | ||
+ | |||
+ | -S adresse IP : utiliser cette adresse source. | ||
+ | |||
+ | <code root> dnstracer -r 3 -v debian.facile.org</code> | ||
+ | |||
+ | |||
+ | ================== | ||
+ | |||
+ | |||
+ | |||
+ | dnstop est un petit outil pour écouter sur l'appareil ou pour analyser le fichier savefile et collecter et | ||
+ | |||
+ | imprimer des statistiques sur le trafic DNS du réseau local. Vous devez avoir un accès en lecture à /dev/bpf* . | ||
+ | |||
+ | OPTIONS DE LA LIGNE DE COMMANDE | ||
+ | |||
+ | Les options sont les suivantes : | ||
+ | |||
+ | -4 compte uniquement les messages avec des adresses IPv4, compte uniquement les messages avec des adresses IPv4 | ||
+ | |||
+ | -6 compte uniquement les messages avec des adresses IPv6, compte uniquement les messages avec des adresses IPv6 | ||
+ | |||
+ | -Q ne compte que les messages de requête DNS, ne compte que les messages de requête DNS | ||
+ | |||
+ | -R ne compte que les messages de réponse DNS, ne compte que les messages de réponse DNS | ||
+ | |||
+ | -a anonymiser les adresses, | ||
+ | |||
+ | -b expression | ||
+ | Expression de filtre BPF | ||
+ | (par défaut : port udp 53) | ||
+ | |||
+ | -j'adresse ignorer les adresses sélectionnées | ||
+ | |||
+ | -p Ne pas mettre l'interface en mode promiscuité. | ||
+ | |||
+ | -r Intervalle de rafraîchissement (secondes). | ||
+ | |||
+ | -l niveau conserve le décompte des noms jusqu'au niveau des niveaux de nom de domaine. | ||
+ | |||
+ | Par exemple, avec -l 2 (valeur par défaut), dnstop conservera deux tables : une avec top- | ||
+ | noms de domaine de niveau, et un autre avec des noms de domaine de second niveau. Augmenter la | ||
+ | Le niveau fournit plus de détails, mais nécessite également plus de mémoire et de CPU. | ||
+ | |||
+ | -f nom du filtre d'entrée | ||
+ | |||
+ | Le filtre "unknown-tlds" inclut uniquement les requêtes pour les TLD qui sont faux. Utile pour | ||
+ | identifier les hôtes/serveurs qui fuient les requêtes pour des choses comme "localhost" ou | ||
+ | « groupe de travail ». | ||
+ | |||
+ | Le filtre "A-pour-A" inclut uniquement les requêtes A pour les noms qui sont déjà IP | ||
+ | adresses. Certains serveurs DNS Microsoft Windows ont un bogue connu qui transmet | ||
+ | ces requêtes. | ||
+ | |||
+ | Le filtre "rfc1918-ptr" inclut uniquement les requêtes PTR pour les adresses dans l'espace RFC1918. | ||
+ | Ceux-ci ne doivent jamais fuir de l'intérieur d'une organisation. | ||
+ | |||
+ | Le filtre "refusé", lorsqu'il est utilisé avec l' option -R , indique à dnstop de ne compter que | ||
+ | répond par rcode REFUSED. | ||
+ | |||
+ | Le filtre "qtype-any" indique à dnstop de ne compter que les messages de type ANY. | ||
+ | |||
+ | -n nom | ||
+ | Ne compte que les messages au sein du nom de domaine | ||
+ | |||
+ | -P Affiche les messages de "progression" sur stderr en mode non interactif. | ||
+ | |||
+ | -B compartiments Utiliser les compartiments de la table de hachage des compartiments. | ||
+ | |||
+ | -X Ne tabule pas les sources + compteurs de nom de requête. Cela peut réduire considérablement | ||
+ | - | ||
+ | utilisation de la mémoire sur des serveurs occupés et des fichiers de sauvegarde volumineux. | ||
+ | |||
+ | savefile | ||
+ | une trace réseau capturée au format pcap | ||
+ | |||
+ | périphérique périphérique Ethernet (c'est-à-dire fxp0) | ||
+ | |||
+ | OPTIONS D' EXÉCUTION | ||
+ | |||
+ | Pendant l'exécution, les options suivantes sont disponibles pour modifier l'affichage : | ||
+ | |||
+ | s afficher la table des adresses source | ||
+ | |||
+ | d afficher la table des adresses de destination | ||
+ | |||
+ | t afficher la répartition des types de requêtes vus | ||
+ | |||
+ | r display the breakdown of response codes seen | ||
+ | |||
+ | o display the breakdown of opcodes seen | ||
+ | |||
+ | 1 show 1st level query names | ||
+ | |||
+ | 2 show 2nd level query names | ||
+ | |||
+ | 3 show 3rd level query names | ||
+ | |||
+ | 4 show 4th level query names | ||
+ | |||
+ | 5 show 5th level query names | ||
+ | |||
+ | 6 show 6th level query names | ||
+ | |||
+ | 7 show 7th level query names | ||
+ | |||
+ | 8 show 8th level query names | ||
+ | |||
+ | 9 show 9th level query names | ||
+ | |||
+ | ! show sources + 1st level query names | ||
+ | |||
+ | @ show sources + 2nd level query names | ||
+ | |||
+ | # show sources + 3rd level query names | ||
+ | |||
+ | $ show sources + 4th level query names | ||
+ | |||
+ | % show sources + 5th level query names | ||
+ | |||
+ | ^ show sources + 6th level query names | ||
+ | |||
+ | & show sources + 7th level query names | ||
+ | |||
+ | * show sources + 8th level query names | ||
+ | |||
+ | ( show sources + 9th level query names | ||
+ | |||
+ | ^R reset the counters | ||
+ | |||
+ | ^X exit the program | ||
+ | |||
+ | space redraw | ||
+ | |||
+ | ? help | ||
+ | |||
+ | MODE NON-INTERACTIF | ||
+ | |||
+ | |||
+ | Si stdout n'est pas un tty, dnstop s'exécute en mode non interactif. Dans ce cas, vous devez fournir | ||
+ | |||
+ | un fichier de sauvegarde pour la lecture, au lieu de capturer des paquets en direct. Après avoir lu l'intégralité du fichier | ||
+ | |||
+ | dnstop imprime les 50 premières entrées de chaque table. | ||
+ | |||