Capture de trames avec TCPDUMP

Introduction

 

TCPDUMP est un utilitaire en ligne de commande disponible sur les plateformes Linux et permettant de capturer le trafic réseau depuis l’hôte sur lequel il est installé. Ce billet montrera quelques options possibles avec cet utilitaire.

 

Installation

 

Famille Debian :

 

apt-get install tcpdump

 

Famille Redhat :

 

yum install tcpdump

 

 

Utilisation

 

Visualiser les interfaces :

 

tcpdump -D
1.eth0
2.any (Pseudo-device that captures on all interfaces)
3.lo

 

Capturer le trafic avec plus d’information (mode verbose) :

 

tcpdump -v

 

Afficher le contenu des paquets :

 

tcpdump -A

 

Afficher les adresses IP plutôt que les résolutions DNS :

 

tcpdump -n

 

Envoi du résultat de la capture dans un fichier :

 

tcpdump -w capture.dump

 

Lecture du fichier :

 

tcpdump -r capture.dump

 

Capturer le trafic d’une interface spécifique (ici eth0) :

 

tcpdump -i eth0

 

Capturer le trafic d’un hôte spécifié (émission et réception) :

 

tcpdump host www.google.fr

 

Capturer le trafic HTTP :

 

tcpdump port http

 

Filtrage par protocole (tcp,udp,arp,icmp…), ici on ne capture que les trames provenant du protocole icmp (ping)  :

 

tcpdump -i eth0 icmp

 

Capturer le trafic FTP (avec contenu des paquets) provenant de l’adresse IP 192.168.0.9 vers l’adresse IP 192.168.0.123 :

 

tcpdump -A src 192.168.0.9 and dst 192.168.0.123 and port ftp

 

Capturer seulement 50 paquets :

 

tcpdump -c 50

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *