 |
 |
|
|
sniffit - renifleur et moniteur de paquets |
|
sniffit [-xdabvnN] [-P proto] [-A char] [-p port] [(-r|-R) recordfile] [-l snifflen] [-L logparam] [-F sniffdevice] [-D tty] [-M plugin] [(-t Target-IP | -s Source-P) | (-i | -I) | -c configfile] |
|
Sniffit est un renifleur de paquets IP pour les protocoles TCP, UDP et ICMP. Il est capable de donner des informations techniques très détaillées sur ces paquets (SEQ, ACK, TTL, Window...) mais aussi leur contenu dans différents formats (hex, texte...) Par défaut , sniffit peut gérer les liaisons ethernet et ppp mais on peut facilement le forcer à utiliser d'autres (voir les fichiers README.FIRST et sn_config.h). On peut facilement configurer ce renifleur pour qu'il filtre les paquets entrant afin de le résultat plus facile à étudier. le fichier de configuration (voir plus loin (5)) d'être plus précis sur les spécifications des paquets à traiter. Sniffit a aussi un mode interactif pour le suivi actif et peut aussi être utilisé pour le suivi continu sur plusieurs niveaux. |
|
Cette page de manuel est sensée être un manuel de référence. Lire d'abord le README.FIRST, et n'utiliser cette page uniquement pour une meilleur compréhension ou pour une vérification rapide de l'utilisation de sniffit. |
| Une des options -t, -s, -i, -I ou -c est requise ! | |
| -v |
Affiche la version de sniffit et termine. (passe au-dessus des autres options).
|
| -t Target-IP |
Ne traite que les paquets à destination de Target-IP. Si Target-IP est en notion nombre et points, ? (Incompatible avec les options : -s, -i, -I, -c, -v et -L).
|
| -s Source-IP |
Similaire à "-t", mais traite les paquets venant de Source-IP. (Incompatible avec les options : -t, -i, -I, -c, -v, et -L,).
|
| -b |
spécifié pour -s ou -t. (Incompatible avec les options : -t ou -s, -i, -I, -c, -v et -L).
|
| -c config-file |
Utilise le fichier config-file pour configurer le filtrage de paquets. Ceci permet d'être très précis sur les paquets à traiter. (voir sniffit(5) pour le format).
(Incompatible avec les options : -t, -s, -i, -I, -c, -v et -L) |
| -i |
mode interactif basé sur la bibliothèque ncurses. Ce mode n'est pas accessible si sniffit a été compilé sans support du mode interactif (voir les fichiers sn_config.h et README.FIRST). Incompatible avec les options : -t, -s, -i, -I, -c, -v et -L.
|
| -I |
Comme -i, mais donne plus d'informations. Incompatible avec les options : -t, -s, -i, -I, -c, -v et -L.
|
| -R file |
Enregistre le trafic dans le fichier file. Nécessite un paramètre de sélection comme -c, -t ou -s. Incompatible avec les options : -i, -I, -v, -L et -r.
|
| -r file |
Cette option récupère les informations dans le fichier file. Nécessite l'option -F avec le périférique correct. Par exemple sur une machine avec l'interface eth0, pour exploiter un fichier enregistré, il faudra utiliser l'option "-F eth0" ou "-F eth". Incompatible avec les options : -i, -I et -R.
|
| -N |
Désactive la vérification de la somme de contrôle du paquet IP. On peut alors avoir des paquets erronés. On se rappellera que les paquets ARP, RARP ou d'autres paquets non-IP apparaissent aussi comme erronés. Compatible avec toutes les options.
|
| -x |
Envoie des informations étendues sur les paquets TCP vers la sortie stdout (SEQ, ACK, Flags...). C'est utile pour suivre des attaques par spoofing, des pertes de paquets ou d'autres tests ou deboggage de réseau. Pour les enregistrer il suffit de relier la sortie standard à un fichier en utilisant un "pipe". Incompatible avec les options : -i, -I et -v.
|
| -d |
Affiche les données en octets (représentation hexadécimale). Valeur par défaut dans les fichiers. Incompatible avec les options : -i, -I, -v et -L.
|
| -a |
Remplacé par ".". les options -d et -a cohabitent sans problème. Incompatible avec les options : -i, -I, -v et -L.
|
| -P proto |
Précise le protocole dont les paquets doivent être traités. Le protocole retenu par défaut est TCP. Les choix possibles sont : IP, TCP, ICMP, UDP. Ils peuvent être combinés. Les information sur IP, ICMP et UDP sont envoyées vers stdout. IP donne des informations aditionnelle sur l'IPwrapping autour d'autres paquets, il n'est pas nécessaire de préciser IP pour l'enregistrement des paquets TCP. les paquets IP, ICMP ne sont pas filtrés, les paquets UDP le sont comme au 0.3.4. Incompatible avec les options : -i, -I, -v et -L.
|
| -A char |
En mode normal (sauf avec -d, -a, -i, -I et -L), les caractères non-imprimable sont remplacés par le caractère char. Incompatible avec les options : -a, -d, -i, -I, -v et -L.
|
| -p port |
Ne contrôle que les paquets destinés au port port. 0 signifie tous les ports et c'est l'option par défaut. Incompatible avec les options : -c, -i, -I, -v et -L.
|
| -l snifflen |
Indique la quantité de données à enregister par paquet en mode normal, 300 octets par défaut. Les sniflen premiers octets de chaque connexion sont stockés. 0 signifie tous les octets. Attention à l'espace disque disponible ! Incompatible avec les options : -i, -I, -v et -L.
|
| -F sniffdevice |
Force sniffit à utiliser le périférique réseau sniffdevice. Sont utilisables les noms de périfériques obtenu par ifconfig, par défaut sniffit accepte les cartes ethernet et les liaison ppp. Lire le fichier README.FIRST pour savoir comment forcer d'autres périfériques. Compatible avec toutes les options.
|
| -D tty |
Toutes les sortie sont envoyées à ce périférique. Ne fonctionne qu'avec -i et -I.
|
| -M plugin |
Active le plugin numéro. Pour connaître la liste des pluginscompilés avec votre version de sniffit, taper juste "sniffit". Incompatible avec les options : -i, -I et -v.
|
| -L logparam |
Utilise sniffit comme outil de monitoring et autorise différents mode de capture (logparam). Le fichier de stockage est donné dans le fichier de configuration mais sera sniffit.log par défaut. Ne fonctionne qu'avec -c.
|
|
Un lot de sniflen premiers octets (300 par defaut) de chaque connexion est dans un fichier x.x.x.x.p-y.y.y.y.o où x.x.x.x est l'IP de l'hôte source et p son port tandis que y.y.y.y est l'IP de destination et o le port.
|
|
La sortie est envoyée sur stdout, le contenu des paquets est présentée sous forme brute. (le paquet complet)
|
| Touches du clavier utilisable dans le mode interactif : | |
| UP ou k | vers le haut |
| DOWN ou j | vers le bas |
| F1 ou 1 |
entrer l'hôte source pour le filtrage, "all" pour tous.
|
| F2 ou 2 | entrer l'hôte destinataire, "all" pour tous. |
| F3 ou 3 | entrer le port source, "0" pour tous. |
| F4 ou 4 |
entrer le port destinataire,"0" pour tous.
|
| F5 ou 5 |
Démarre le programme "sniffit key5" avec les arguments <from_IP> <from_port> <to_IP> <to_port>. Si le programme n'existe pas, rien ne se passe.Sniffit doit être dans le même répertoire (path) que celui où il a été démarré, pas forcément celui où il est stocké. Cette fonction est utile pour détruire une connexion de façon interactive ou... Un petit script shell peut toujours transformer les arguments et les passer avec le répertoire à un autre programme.
|
| F6 ou 6 | Même chose avec le programme "sniffit key6". |
| F7 ou 7 | Même chose avec le programme "sniffit key7". |
| F8 ou 8 | Même chose avec le programme "sniffit key8". |
| ENTER |
Une fenêtre va surgir et présenter la capture de la connexion ou celle-ci sera envoyée au périférique choisi par l'option -D si elle est utilisée.
|
| q | Stoppe la capture en mode capture sinon quitte sniffit. |
| n |
interrupteur pour les statistiques réseau. Elles sont échantillonnées toutes les 3 secondes. Regarder le fichier sn_config.h pour le changer.
|
| g | Permet à Sniffit de générer une charge de trafic. Actuellement c'est une fonctionnalité sous-développée avec très peu d'options, mais elle va être étendue. Actuellement, seuls des paquets UDP sont générés.Si vous appuyez sur "g", vous serez amener à indiquer les IP et port source et destination et combien de paquets sont à transmettre. Les paquets contiennent la ligne "This Packet was fired with Sniffit !" |
| r | Reset... efface les connexions actuelle de la mémoire de sniffit et redémarre. |
|
La sortie est envoyée dans le fichier sniffit.log, à moins que vous n'ayez indiqué quelqu'autre nom dans le fichier de configuration (voir sniffit(5)).
| |
| raw |
Enregistre tous les paquets SYN, FIN, RST. Ceci vous donnera une vue d'ensemble de tout le trafic TCP du réseau sous forme brute (une connexion au moins 2 paquets SYN, etc.)
|
| norm |
Comme raw, mais un peu plus intelligent. Même si certains paquets sont transmis plusieurs fois pour des raisons de perte de paquet, vous n'aurez qu'un avis de début ou de fin. (L'id du paquet donnera l'hôte qui initialisé la connexion en premier.)
|
| telnet |
Sniffit va essayer de récupérer le login et le mot de passe pour cette application. (voir le manuel de telnet (1))
|
| ftp |
Sniffit va essayer de récupérer le login et le mot de passe pour cette application. (voir le manuel de ftp (1))
|
|
Sniffit va essayer d'identifier tous les mails qu'il a mis au registre.
| |
|
Les informations sur ces paquets sont envoyés sur la sortie standard (stdout). Le filtrage de paquet s'adresse uniquement aux paquets TCP et UDP. le contenu des paquets UDP n'est présenté que si l'option -a ou l'option -d est validée.
|
|
Rédaction en langue originale : Brecht Clearhout <coder@reptile.rug.ac.be>
Page de manuel traduite par François PORT <fport@free.fr> |
| sniffit (5). |
|
|
|
|