Bonjour a tous    
 
A cause de recherches infructueuses je me tourne vers vous
 
Voila j'utilise comme beaucoup le logiciel wireshark (ex éthereal) pour vérifier de temps en temps comment tourne le lan de la société dans laquelle je bosse et surtout pour voir si il n'y a pas de trafic Bittorrent  (saloperie de patch Wow )
 
Je récupère tout le trafic réseaux entrant dans le lan ou sortant vers internet sur un petit serveur sous linux, et vu qu'on a une centaine de machine et un nombre de transfert de fichier très important, le fichier qui log les trames devient vite énorme (10 minute de scan pour 1GO de log)
 
Je sais que wireshark n'est pas fait pour faire des scans sur la durée mais j'aimerais savoir si il n'y avait pas un moyen de loguer que les trames que je veux scanner ? Même avec des filtres pour ne voir que le bittorrent, wireshark log toutes les trames (tcp, udp, icmp, etc...).
Etant donné que les téléchargements bittorrent sont pas très fréquents, le fichier de log serait grandement allégé!!
 
Je vous remercie d'avance d'avoir prêté attention à ce post  

dans les options de la capture, tu peux faire un filtre directement, pour que wireshark ne capture que ce qui correspond a ton filtre.
Attention, il s'agit d'un filtre de type tcpdump.
J'espere que c'est ce que tu attendais.

+1, dans wireshark tu as les filtres de capture et les filtre d'affichage.
 
Par contre en filtre de capture c'est pas aussi puissant que les filtres d'affichage

En utilisant un filtre de capture, les trames qui ne correspondent pas aux filtres ne seront donc pas logguer ?
Je vais tester ca de suite!
 
Merci de vos réponse

Apparemment le protocole Bittorrent n'est reconnu que pour les filtre d'affichage    
En filtre de capture il me ressort l'erreur suivante
 

 
Pareil si j'utilise le filtre : tcp port bittorrent (j'ai vu ca dans un exemple, je pensais que cela ne marcherait pas et j'ai eu raison    
Je suis en train d'éplucher toute l'aide sur les filtres, je vous tiens au courant si j'ai du nouveau.

Bon j'ai trouvé des infos sur le net qui confirme ce que je pensais. Les filtres de capture ne gère que les protocoles tcp, udp, icmp et quelques autres, mais pas les protocoles comme bittorrent !  
 
Donc pas moyen de faire des filtres assez puissant
Bref c'est con pour moi ^^

hmmm  
 
En regardant rapidement sur internet je vois que bittorent utilise des ports précis.
"en règle générale : les ports 6881 à 6889 mais aussi parfois les ports 6969 et 7000"
 
Dans ce cas c'est tres simple:
 
j'utilise tcpdump:
 
tcpdump -ni any -s0 -n -w bittorentlamer portrange 6881-6889 and port 6969 and port 7000
 
et j'ouvre avec wireshark le fichier bittorentlamer.
 
Sinon pour c'est du vrai filtrage protocolaire qu'il va te falloir et là...je crois que c'est pas gratuit.
 
 
cordialement,
 
--
acka47
j'reste underground donc j'reste intégre que mircosoft me tienne bien l'zgeg

Dans mes scans wireshark, je n'ai pas le souvenir que les ports utilisés étaient ceux que tu cites.
La plus part des client torrent affectent un port aléatoire donc je pense pas que ca soit la solution, je vérifierais au cas ou je me plante !
 
Merci pour l'info en tout cas