Surveiller le trafic réseau

Outils d’analyse de trafic

La commande ping est une commande extrêmement utile pour savoir si un équipement (ordinateur ou DNS ou site Web) est joignable via un réseau IP, en calculant le temps mis pour recevoir une réponse (temps de trajet de la trame aller et retour). Elle permet aussi de déterminer le taux de paquet perdu moyen.

Exemple:

ping -c 10 google.com

PING google.com (216.58.213.174) 56(84) bytes of data.

64 bytes from par21s04-in-f174.1e100.net (216.58.213.174): icmp_req=1 ttl=55 time=0.869 ms

64 bytes from par21s04-in-f14.1e100.net (216.58.213.174): icmp_req=2 ttl=55 time=1.90 ms

64 bytes from par21s04-in-f174.1e100.net (216.58.213.174): icmp_req=3 ttl=55 time=0.905 ms

64 bytes from par21s04-in-f14.1e100.net (216.58.213.174): icmp_req=4 ttl=55 time=1.12 ms

64 bytes from par21s04-in-f174.1e100.net (216.58.213.174): icmp_req=5 ttl=55 time=1.69 ms

64 bytes from par21s04-in-f14.1e100.net (216.58.213.174): icmp_req=6 ttl=55 time=0.823 ms

64 bytes from par21s04-in-f174.1e100.net (216.58.213.174): icmp_req=7 ttl=55 time=1.12 ms

64 bytes from par21s04-in-f14.1e100.net (216.58.213.174): icmp_req=8 ttl=55 time=1.12 ms

64 bytes from par21s04-in-f174.1e100.net (216.58.213.174): icmp_req=9 ttl=55 time=1.90 ms

64 bytes from par21s04-in-f14.1e100.net (216.58.213.174): icmp_req=10 ttl=55 time=1.11 ms

— google.com ping statistics —

10 packets transmitted, 10 received, 0% packet loss, time 9015ms

rtt min/avg/max/mdev = 0.823/1.258/1.900/0.396 ms

Outils d’analyse de route

La commande route permet d’afficher les routes statiques définies sur le système.

Exemple:

route Table de routage IP du noyau

Destination Passerelle Genmask Indic Metric Ref Use Iface

Avec:

– U : Up – la route est active et exploitable.

– H : Host – la cible est un hôte.

– G : Gateway – la cible est accessible par une passerelle.

– D : Dynamic – la route est configurée par un protocole de routage.

– ! : Le noyau a rejeté la route

Outils de traçage

La commande traceroute permet de déterminer le chemin suivi par un paquet (donner la liste des routeurs entre la machine sur laquelle on lance la commande et la machine cible)

Sous linux:

La commande est traceroute

traceroute google.com

Sous windows:

La commande est tracert

Outils de vérification des connexions actives

la commandes ss permet d’afficher les  connexions actives sur la machine.

Exemple:

afficher les connexions “ESTABLISHED”, les ports et les processus (avec pid):

ss -ntp

connaitre le nombre de connexions ouvertes sur les différentes adresses IP connectées

ss -ntu | tail -n+3 | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n

Pour afficher les ip connectées sur un port

exemple ports 80 et 25:

ss -ntp | egrep ‘(:80|:25)’

Détecter un syn flood:

ss -n -p | grep SYN_REC | sort -u

Outils d’interrogation du réseau

La commande nmap est un scanner de ports (Les cibles: adresse ip ou DNS)

Outils d’interrogation des processus

La commande lsof permet de lister les fichiers ouverts et/ou les processus actifs.

lsof -i permet de lister les services internet TCP/UDP

watch lsof -i permet d’exécuter à intervalle régulière la commande lsof