TCPDump ou comment sniffer le trafic TCP sous Debian.

Rédigé par monptitnuage - - 1 commentaire
Tcpdump est un outil de capture et d'analyse réseau. Il permet d'avoir une analyse en direct du réseau ou d'enregistrer la capture dans un fichier afin de l'analyser pour plus tard. Il permet d'écrire des filtres afin de sélectionner les paquets à capturer/analyser. TCPDump est disponible sous divers OS : Linux, Mac, Windows …
TCPdump se lance en root car il passe votre interface réseau en « promiscuous mode », c'est à dire que l’interface va accepter tous les paquets IP, même ceux qui ne lui sont pas destinés, ce qui nécessite certain privilèges.
C'est un outil indispensable à l'administration et au débugage d'applications réseaux.

Voici quelques exemples de commandes avec TCPDump :
1 - tcpdump -D : Affiche les interfaces réseaux disponibles pour la capture.
2 - tcpdump host www.youtube.fr : Affiche seulement les paquets qui ont pour adresse source ou destination www.youtube.fr
3- tcpdump dst www.youtube.fr : Affiche seulement les paquets qui ont pour adresse destination www.youtube.fr
4- tcpdump port http : Affiche seulement les paquets HTTP (web)
5 - tcpdump dst 192.168.26.10 and port domain : Affiche tous les paquets DNS (domain) à destination de l’adresse 192.168.26.10
6 - tcpdump -w capture.dump : Capture les paquets et sauvegarder le tout dans le fichier capture.dump.
7 - tcpdump -r capture.log : Lecture d’un fichier de log (ces fichiers ne sont pas écrits en clair)
8 - tcpdump -v -r capture.dump : Capture les paquets et sauvegarder le tout dans le fichier capture.dump et afficher le contenu dans la sortie standard.
9 - tcpdump -c 20 : Capture 20 paquets TCP.
10 - tcpdump src 192.168.100.1 and dst 192.168.1.6 and port ftp : Affichage des paquets FTP venant de 192.168.100.1 et allant vers 192.168.1.6

Le fonctionnement des raccourcies :
-n : ne pas faire de résolution de nom (affiche seulement les adresses IP).
-i : utilisation d’une interface particulière, en particulier pour les interfaces virtuelles (ex: tcpdump -i eth0:1)
-v et -vv : affichent des informations supplémentaires

Webmasteur et rédacteur du blog monptitnuage
Vous pouvez me suivre sur Twitter : @monptitnuage

1 commentaire

#1  - emploi apprenti plombier a dit :

great website...continue

Répondre

Fil RSS des commentaires de cet article

Les commentaires sont fermés.