{{tag>netadmin sysadmin réseau trafic}}

:TODO_DOCUPDATE:

====== Outils de capture du trafic réseau ======

Quelques outils dédiés à la capture du trafic réseau:
  * tcpdump;
  * ngrep;
  * Wireshark;
  * Snort;
  * ntop;
  * ettercap
  * dsniff.

La quantité de données capturée par ces outils est rapidement conséquente. En général ils permettent de définir des **filtres BPF** (**BSD** **P**acket **F**ilter).

===== Syntaxe filtres BPF =====

Ces filtres BPF permettent de sélectionner le trafic en fonction:

  * Des hôtes et des réseaux en présence (**host** et **net**);
  * De la direction du flux de données (**dst** ou **src**);
  * Des ports ou plages de ports (**port** ou **portrange**);
  * Du protocole encapsulé dans Ethernet (**ether proto** suivi de **ip**, **ip6**, **arp**, **rarp**, **atalk**, **aarp**, **decnet**, **ipx**, etc);
  * Du protocole encapsulé dans IP (**ip proto** avec par exemple **icmp**, **udp** ou **tcp**);
  * De l'identifiant du VLAN (**vlan**);
  * etc.

Ces différents mots clefs peuvent être combinés avec des opérateurs logiques **and** et **or**, la priorité et gérée via les parenthèses, il faut penser à échapper les métacaractères interprétables par le shell et certains mots qui peuvent être interprétés comme des commandes.