Différences

Ci-dessous, les différences entre deux révisions de la page.

--- transmission:collecte [2019/07/13 12:33]
bikepunk ↷ Liens modifiés en raison d'un déplacement.
+++ transmission:collecte [2024/02/04 16:46] (Version actuelle)
sthibaul [Documentation]
@@ Ligne 32: / Ligne 32: @@
   * Voir [[https://code.ffdn.org/l2tpns/l2tpns|l2tpns]] etc.
+  * Observer les logins pap/chap:
+```
+tcpdump -n -vvv   -i any 'port l2f and
+   (udp[8] & 0x80) == 0 and
+   (     ((udp[16] == 0xc0 or udp[16] == 0xc2) and udp[17] == 0x23)
+     or  ((udp[18] == 0xc0 or udp[18] == 0xc2) and udp[19] == 0x23) )'
+```
+  * Observer les négociations en tous genre (pas de trafic ipv4, ipv6, echo, ccp):
+```
+sudo tcpdump -v -n -i any 'port l2f
+   and ( udp[18] != 0x00 or udp[19] != 0x21)
+   and ( udp[16] != 0x00 or udp[17] != 0x21)
+   and ( udp[16] != 0x00 and udp[17] != 0x57)
+   and ( udp[18] != 0x00 and udp[19] != 0x57)
+   and ( udp[16] != 0x80 or udp[17] != 0xfd)
+   and ( udp[18] != 0x80 or udp[19] != 0xfd)
+   and ( udp[18] != 0x9 )
+   and ( udp[18] != 0xa )
+   and ( udp[20] != 0x9 )
+   and ( udp[20] != 0xa )
+'
+```
+  * Observer une sesison en particulier:
+```
+sudo tcpdump -v -n -i any 'port l2f
+    and ( ( ( udp[8] & 0x40 == 0 ) and udp[12] = 0 and udp[13] = 123 ) or
+          ( ( udp[8] & 0x40 != 0 ) and udp[14] = 0 and udp[15] = 123 ) )
+```
   * Éventuellement des liens vers de la documentation poussée