Outil d'analyse des paquets TCP/IP transitant sur le réseau. L' exécuter en superutilisateur permet d'autoriser la reconfiguration de l'interface en mode promiscuous. Dans ce mode tous les paquets sont interceptés par l'interface.

sudo tcpdump -n -i eth1

• L'option -i permet de selectionner l'interface sur laquelle tcpdump va écouter (par défaut toutes les interfaces).
• L'option -n permet de ne pas faire de résolution de nom, les adresses IP sont affichées directement.

Autres options

• L'option -e permet d'afficher l'adresse MAC.

Enormement d'information circule sur les réseaux, sans filtrage, le retour peut être très volumineux, il est plus difficile d'isoler l'information souhaitée. Pour faciliter la lecture, et isoler l'information utile un système exhaustif de filtrage est disponible. Ci dessous quelques exemples simples.

Pour capturer les paquets concernant l’hôte ayant l'IP 192.168.0.12

$ sudo tcpdump -n -v -i eth1 host 192.168.0.12

Pour capturer les paquets émis par l'hote avec l'IP 192.168.0.12

$ sudo tcpdump -n -v -i eth1 src host 192.168.0.12

Pour capturer les paquets à destination de l'hote avec l'IP 192.168.0.12:

$ sudo tcpdump -n -v -i eth1 dest host 192.168.0.12

Pour capturer les paquets concernant concernant l'interface ayant l'adresse MAC 00:23:24:8b:eb:7b

$ sudo tcpdump -n -v -i eth1 ether host 00:23:24:8b:eb:7b