cheatsheet Tcpdump
Introduction
Les outils de debug réseau sont essentiels pour administrateur réseau. Ils offrent des moyens puissants de surveiller, d’analyser et de dépanner les réseaux.
TCPdump
TCPdump est un outil de ligne de commande qui affiche le trafic réseau sur un réseau.
- Exemple d’utilisation : Pour capturer les paquets TCP d’une certaine adresse IP (par exemple, 192.168.1.1) sur l’interface eth0, utilisez la commande suivante :
tcpdump -i eth0 tcp and host 192.168.1.1
TCPdump offre une multitude de possibilités pour inspecter le trafic réseau. Voici quelques exemples d’utilisation de TCPdump :
- Voir ce qui se passe sur le réseau avec
tcpdump -i any
- Surveiller une interface spécifique avec
tcpdump -i virbr0
- Filtrer par IP avec
tcpdump host 192.168.122.131
- Voir les paquets avec une sortie HEX avec
- Filtrer par source et destination avec
tcpdump src 192.168.122.131
et
tcpdump dst 192.168.122.14
- Trouver des paquets par réseau avec
tcpdump net 192.168.122.0/24
- Montrer le trafic lié à un port spécifique avec
tcpdump port 3389
- Montrer le trafic d’un seul protocole avec
tcpdump icmp
- Montrer uniquement le trafic IPv6 avec
tcpdump ip6
- Trouver le trafic en utilisant des plages de ports avec
tcpdump portrange 21-25
- Trouver le trafic basé sur la taille des paquets avec
tcpdump less 32
,
tcpdump greater 32
et
tcpdump <= 102
- Écrire des captures dans un fichier avec
tcpdump port 80 -w output
- Lire à partir de fichiers pcap avec
tcpdump -r output.pcap
Vous pouvez également utiliser TCPdump pour identifier des paquets malformés/malveillants, trouver des requêtes HTTP en clair, identifier des connexions SSH sur n’importe quel port via le texte de la bannière, et bien plus encore.
⬇️ Updated 04/2024 - Ceci est un condensé de toutes les commandes généreusement fournies par les sites suivants :
