{{tag>netadmin reseau tcpdump}}
====== tcpdump ======
Outil d'analyse des paquets TCP/IP transitant sur le réseau. L' exécuter en superutilisateur permet d'autoriser la reconfiguration de l'interface en mode ''promiscuous''. Dans ce mode tous les paquets sont interceptés par l'interface.
===== Syntaxe élémentaire =====
Pour lister les interfaces éligibles à la capture:
tcpdump -D
L'option **-i** permet alors de spécifier l'interface souhaitée:
sudo tcpdump -n -i eth1
* L'option **-i** permet de préciser l'interface sur laquelle tcpdump va écouter (par défaut toutes les interfaces).
* L'option **-n** permet de ne pas faire de résolution de nom, les adresses IP sont affichées directement.
Autres options :
* L'option **-e** permet d'afficher l'adresse MAC.
* L'option **-q**
* Les options **-v** à **-vvv** permettent d'augmenter la verbosité de la sortie de la commande.
===== Filtrer les résultats =====
Énormément d'information circule en permanence sur les réseaux. Sans filtrage, le retour peut être très volumineux, il est alors plus difficile d'isoler l'information souhaitée. Pour faciliter la lecture, et isoler l'information utile un système exhaustif de filtrage est disponible. Le système de filtre s'appuie sur l' expression placée après les options sur la ligne de commande. Ci dessous quelques exemples simples.
==== Exemples filtres ====
Pour capturer les paquets concernant l’hôte ayant l'IP 192.168.0.12 depuis l'interface eth1
$ sudo tcpdump -n -v -i eth1 host 192.168.0.12
Pour capturer les paquets émis par L’hôte avec l'IP 192.168.0.12 depuis l'interface enp0s31f6
$ sudo tcpdump -n -v -i enp0s31f6 src host 192.168.0.12
Pour capturer les paquets à destination de l’hôte avec l'IP 192.168.0.12:
$ sudo tcpdump -n -v -i eth1 dst host 192.168.0.12
Pour capturer les paquets concernant concernant l'interface ayant l'adresse MAC 00:23:24:8b:eb:7b
$ sudo tcpdump -n -v -i eth1 ether host 00:23:24:8b:eb:7b
Capturer le trafic UDP sur l'interface enp0s31f6, limiter la capture à 60 paquet
tcpdump -c 60 -i enp0s31f6 udp
Enregistre la capture dans un fichier plutôt que de l'afficher sur la sortie standard avec l'option **-w**:
sudo tcpdump -q -n -i enp0s31f6 -c 20 -w outputfile.cap dst host wiki.phobos-net.fr and port https
Le fichier dump produit est un fichier binaire. Il peut être réutilisé en lecture par tcpdump ou par wireshark:
tcpdump -q -r outputfile.cap
wireshark outputfile.cap