Tcpdump
Aller à la navigation
Aller à la recherche
Présentation
Tcpdump est un utilitaire en ligne de commande qui permet de sniffer les paquets entrants et sortant sur les interfaces réseau.
On peut lui passer de nombreuses options et paramètres pour affiner les résultats. On peut voir les détails dans la page man. La syntaxe est riche, mais peut vite devenir compliquée. Je vais juste présenter quelques exemples pratiques.
Exemples
- capturer ce qui arrive et sort sur l'interface principale :
tcpdump
(on peut ajouter les options -v ou -vv pour augmenter la verbosité
- ne capturer que ce qui transite sur l'interface eth1 :
tcpdump -i eth1
- ne capturer que ce qui transite sur l'interface eth1 et qui transite vers ou depuis l'hôte "serveur1" :
tcpdump -i eth1 host serveur1
- idem, mais n'affiche que ce qui transite via tcp :
tcpdump -i eth1 host serveur1 and tcp
- idem pour tcp ou icmp :
tcpdump -i eth1 host ubuntu-virt and tcp or icmp
- ne scanner que ce qui transite par les port tcp 22 et 23 :
tcpdump tcp port 22 or 23
- écrire le résultat dans un fichier pcap, pour une analyse précise avec wireshark :
tcpdump -i eth1 host serveur1 -w /tmp/fichier.pcap