wikinotes

Outils pour utilisateurs

Outils du site

Piste : tcpdump
netadmin:tcpdump

Table des matières

, ,

tcpdump

Outil d'analyse des paquets TCP/IP transitant sur le réseau. L' exécuter en superutilisateur permet d'autoriser la reconfiguration de l'interface en mode promiscuous. Dans ce mode tous les paquets sont interceptés par l'interface.

Syntaxe élémentaire

Pour lister les interfaces éligibles à la capture: 

tcpdump -D

L'option -i permet alors de spécifier l'interface souhaitée: 

sudo tcpdump -n -i eth1
  • L'option -i permet de préciser l'interface sur laquelle tcpdump va écouter (par défaut toutes les interfaces).
  • L'option -n permet de ne pas faire de résolution de nom, les adresses IP sont affichées directement.

Autres options :

  • L'option -e permet d'afficher l'adresse MAC.
  • L'option -q
  • Les options -v à -vvv permettent d'augmenter la verbosité de la sortie de la commande.

Filtrer les résultats

Énormément d'information circule en permanence sur les réseaux. Sans filtrage, le retour peut être très volumineux, il est alors plus difficile d'isoler l'information souhaitée. Pour faciliter la lecture, et isoler l'information utile un système exhaustif de filtrage est disponible. Le système de filtre s'appuie sur l' expression placée après les options sur la ligne de commande. Ci dessous quelques exemples simples.

Exemples filtres

Pour capturer les paquets concernant l’hôte ayant l'IP 192.168.0.12 depuis l'interface eth1 

$ sudo tcpdump -n -v -i eth1 host 192.168.0.12

Pour capturer les paquets émis par L’hôte avec l'IP 192.168.0.12 depuis l'interface enp0s31f6 

$ sudo tcpdump -n -v -i enp0s31f6 src host 192.168.0.12

Pour capturer les paquets à destination de l’hôte avec l'IP 192.168.0.12: 

$ sudo tcpdump -n -v -i eth1 dst host 192.168.0.12

Pour capturer les paquets concernant concernant l'interface ayant l'adresse MAC 00:23:24:8b:eb:7b 

$ sudo tcpdump -n -v -i eth1 ether host 00:23:24:8b:eb:7b

Capturer le trafic UDP sur l'interface enp0s31f6, limiter la capture à 60 paquet 

tcpdump -c 60 -i enp0s31f6 udp

Enregistre la capture dans un fichier plutôt que de l'afficher sur la sortie standard avec l'option -w: 

sudo tcpdump -q -n -i enp0s31f6 -c 20 -w outputfile.cap dst host wiki.phobos-net.fr and port https

Le fichier dump produit est un fichier binaire. Il peut être réutilisé en lecture par tcpdump ou par wireshark: 

tcpdump -q -r outputfile.cap
wireshark outputfile.cap
netadmin/tcpdump.txt · Dernière modification : 2023/01/31 16:49 de yoann

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki