Quelques outils dédiés à la capture du trafic réseau:

• tcpdump;
• ngrep;
• Wireshark;
• Snort;
• ntop;
• ettercap
• dsniff.

La quantité de données capturée par ces outils est rapidement conséquente. En général ils permettent de définir des filtres BPF (BSD Packet Filter).

Ces filtres BPF permettent de sélectionner le trafic en fonction:

• Des hôtes et des réseaux en présence (host et net);
• De la direction du flux de données (dst ou src);
• Des ports ou plages de ports (port ou portrange);
• Du protocole encapsulé dans Ethernet (ether proto suivi de ip, ip6, arp, rarp, atalk, aarp, decnet, ipx, etc);
• Du protocole encapsulé dans IP (ip proto avec par exemple icmp, udp ou tcp);
• De l'identifiant du VLAN (vlan);
• etc.

Ces différents mots clefs peuvent être combinés avec des opérateurs logiques and et or, la priorité et gérée via les parenthèses, il faut penser à échapper les métacaractères interprétables par le shell et certains mots qui peuvent être interprétés comme des commandes.