Techniques d'analyse (1/2)

Etape 1 : extraire de la trace principale une sous-trace contenant uniquement le trafic souhaité
- tcpdump -r PourJeanBat3 -w 4444.cap 'tcp port 4444'
Première étape suivante possible : utiliser tcpflow pour extraire les données échangées dans les différentes sessions TCP
- mkdir 4444 ; cd 4444 ; tcpflow -r ../4444.cap
- Analyse va se poursuivre avec les outils du shell : ls, awk, sort, uniq, md5
Séquences utilisées ici (dans le répertoire contenant les flux extraits)
- ls -l | awk '{print $5}' | sort | uniq -c | sort -nr
- find . -size 42c | while read file ; do md5 -q $file ; done | sort -nr

Etape 1 : extraire de la trace principale une sous-trace contenant uniquement le trafic souhaité