Tcpdump est un outil d’analyse réseau très répandu chez les amateurs de sécurité de l’information et de routage réseau. Tcpdump affiche les en-têtes de paquets d’une interface réseau en fonction des options de commande. TCPDump est disponible sous divers OS : Linux, Mac, Windows …
TCPdump se lance en root car il passe votre interface réseau en « promiscuous mode » : l’interface va accepter tous les paquets IP, même ceux qui ne lui sont pas destinés, ce qui nécessite certain privilèges.
Quelques exemples de commandes avec TCPDump
tcpdump -D
Affiche les interfaces réseaux disponibles pour la capture.
tcpdump host www.youtube.fr
Affiche seulement les paquets qui ont pour adresse source ou destination www.youtube.fr
tcpdump dst www.youtube.fr
Affiche seulement les paquets qui ont pour adresse destination www.youtube.fr
tcpdump port http
Affiche seulement les paquets HTTP (web)
tcpdump proto gre
Affiche seulement les paquets GRE. GRE pour Encapsulation Générique de Routage, un protocole de tunneling développé par Cisco qui permet d’encapsuler des protocoles réseaux différents, afin de communiquer en P2P sur un réseau internet. GRE est utilisé avec le protocole PPTP (microsoft) pour créer des VPN (Virtual Private Network).
tcpdump dst 192.168.26.10 and port domain
Affiche tous les paquets DNS (domain) à destination de l’adresse 192.168.26.10
tcpdump -w capture.dump
Capture les paquets et sauvegarder le tout dans le fichier capture.dump.
tcpdump -r capture.log
lecture d’un fichier de log (ces fichiers ne sont pas écrits en clair)
tcpdump -v -r capture.dump
Capture les paquets et sauvegarder le tout dans le fichier capture.dump et afficher le contenu dans la sortie standard.
tcpdump -c 20
Capture 20 paquets TCP.
tcpdump src 192.168.100.1 and dst 192.168.1.6 and port ftp
Affichage des paquets FTP venant de 192.168.100.1 et allant vers 192.168.1.6
-n : ne pas faire de résolution de nom (affiche seulement les adresses IP).
-i : utilisation d’une interface particulière, en particulier pour les interfaces virtuelles (ex: tcpdump -i eth0:1)
-v et -vv : affichent des informations supplémentaires
Quel protocole correspond à ce port ?
Pour trouver le numero de port correspondant au nom du port, il faut chercher dans le fichier /etc/services
grep domain /etc/services domain 53/udp # Domain Name ServerTCPDump ou comment sniffer le trafic TCP sous Linux Debian,
novembre 13th, 2012 at 12 h 43 min
Bonjour,
toute mes félicitations pour le site et merci pour l partage, voila un tuto qui m’a vraiment rendu service.
mars 11th, 2012 at 9 h 29 min
Super tuto sa ma permis de voir un trafic TCP inormal sur la machine et le bloquer.
Merci
Cdt