Tcpdump
Introduction
Les outils de debug réseau sont essentiels pour administrateur réseau. Ils offrent des moyens puissants de surveiller, d’analyser et de dépanner les réseaux.
TCPdump
TCPdump est un outil de ligne de commande qui affiche le trafic réseau sur un réseau.
- Exemple d’utilisation : Pour capturer les paquets TCP d’une certaine adresse IP (par exemple, 192.168.1.1) sur l’interface eth0, utilisez la commande suivante :
tcpdump -i eth0 tcp and host 192.168.1.1
TCPdump offre une multitude de possibilités pour inspecter le trafic réseau. Voici un résumé des commandes les plus courantes.
Cheatsheet TCPdump
| Commande | Description |
|---|---|
tcpdump -i <interface> |
Capture le trafic sur une interface réseau spécifique. |
tcpdump -i any |
Capture le trafic sur toutes les interfaces. |
| `tcpdump host <ip | domaine>` |
tcpdump src <ip> |
Filtre le trafic provenant d’une IP source spécifique. |
tcpdump dst <ip> |
Filtre le trafic à destination d’une IP spécifique. |
tcpdump port <num_port> |
Filtre le trafic sur un port spécifique. |
tcpdump <protocole> |
Filtre par protocole (ex: tcp, udp, icmp). |
tcpdump -w <fichier.pcap> |
Écrit la capture de paquets dans un fichier. |
tcpdump -r <fichier.pcap> |
Lit et affiche les paquets d’un fichier de capture. |
tcpdump -n |
N’effectue pas de résolution de noms de domaine (affiche les IP). |
tcpdump -A |
Affiche le contenu des paquets en ASCII. |
tcpdump 'tcp port 80 and host 1.2.3.4' |
Combine des filtres avec des opérateurs logiques (and, or, not). |
Vous pouvez également utiliser TCPdump pour identifier des paquets malformés/malveillants, trouver des requêtes HTTP en clair, identifier des connexions SSH sur n’importe quel port via le texte de la bannière, et bien plus encore.
⬇️ Updated 04/2024 - Ceci est un condensé de toutes les commandes généreusement fournies par les sites suivants :
