Généralités système Linux

RESEAU : tcpdump pour analyser le trafic réseau

Table des matières

Introduction



tcpdump est un analyseur de paquets en ligne de commande. Il permet d'obtenir le détail du trafic visible depuis une interface réseau.

Installation



Sous Gentoo :

Code BASH :
emerge -av net-analyzer/tcpdump


Fedora, CentOS, Oracle Linux :

Code BASH :
dnf install tcpdump


Debian :

Code BASH :
apt install tcpdump



Utilisation



Pour analyser le trafic (carte par défaut) :

Code BASH :
tcpdump


Pour lister les interfaces du système que peut analyser tcpdump :

Code BASH :
tcpdump -D



Pour filtrer une interface particulière :

Code BASH :
tcpdump -i eth0


Exemple chez moi :
Code TEXT :
1.eth0 [Up, Running]
2.vmnet1 [Up, Running]
3.vmnet8 [Up, Running]
4.lo [Up, Running, Loopback]
5.any (Pseudo-device that captures on all interfaces) [Up, Running]
6.bluetooth-monitor (Bluetooth Linux Monitor) [none]
7.nflog (Linux netfilter log (NFLOG) interface) [none]
8.nfqueue (Linux netfilter queue (NFQUEUE) interface) [none]
9.dbus-system (D-Bus system bus) [none]
10.dbus-session (D-Bus session bus) [none]
11.sit0 [none]
12.usbmon0 (Raw USB traffic, all USB buses) [none]
13.usbmon1 (Raw USB traffic, bus number 1)
14.usbmon2 (Raw USB traffic, bus number 2)
15.usbmon3 (Raw USB traffic, bus number 3)
16.usbmon4 (Raw USB traffic, bus number 4)
17.usbmon5 (Raw USB traffic, bus number 5)
18.usbmon6 (Raw USB traffic, bus number 6)


Pour filtrer la machine source ou destination :

Code BASH :
tcpdump -i eth0 host 192.168.21.251


Ou par numéro de port :

Code BASH :
tcpdump -i eth0 port 443


Voici quelques options intéressantes (avec exemples) :

Depuis ou vers un hôte : host 192.168.121.100
Depuis ou vers un réseau : net 192.168.121.0/24
Depuis ou vers un port : port 22


Depuis une source : src 192.168.21.200
Vers une destination : dst 192.168.121.100


Depuis un réseau : src net 192.168.121.0/24
Vers un réseau : dst net 192.168.121.0/24


Depuis un port : src port 22
Vers un port : dst port 22


Négation (exemple avec port) : not dst port 22
Cumul des filtres (exemple avec dst et port) : host 192.168.21.251 and dst port 443

Cette page a été vue 154 fois