AdminSysGNULinux

Outils pour utilisateurs

Outils du site

Piste : scriptinitsysvroot
tech:notes_tcpdump

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
tech:notes_tcpdump [2025/03/24 15:06] – créée - modification externe 127.0.0.1tech:notes_tcpdump [2026/01/08 15:34] (Version actuelle) Jean-Baptiste
Ligne 1: Ligne 1:
 +<!DOCTYPE markdown>
 {{tag>Réseau Sniff Packet}} {{tag>Réseau Sniff Packet}}
  
-Notes commande tcpdump+Notes commande tcpdump
  
  
Ligne 16: Ligne 17:
 * [[Notes analyse de paquets réseau avec Wireshark|Wireshark]] * [[Notes analyse de paquets réseau avec Wireshark|Wireshark]]
  
-<code bash>+~~~bash
 tcpdump -s0 -C 100 -i eth0 -n -w NOUVEAU_FICHIER.cap tcpdump -s0 -C 100 -i eth0 -n -w NOUVEAU_FICHIER.cap
-</code>+~~~
  
 Les options suivantes sont souvent utilisées : Les options suivantes sont souvent utilisées :
 * '-s taille' Spécifie la taille des paquets capturés. 0 = Pas de limite. '-s0' est souvent utilisé afin de ne pas tronquer les paquets capturés * '-s taille' Spécifie la taille des paquets capturés. 0 = Pas de limite. '-s0' est souvent utilisé afin de ne pas tronquer les paquets capturés
-* '-i interface' Spécifie la carte réseau à utiliser. '-i any' pour toutes les cartes (dans ce cas pas de mode [[https://fr.wikipedia.org/wiki/Promiscuous_mode|mode promiscuous]] !). Pour connaître les options possible utiliser **tcpdump -D** ou **tcpdump --list-interfaces**+* '-i interface' Spécifie la carte réseau à utiliser. '-i any' pour toutes les cartes (dans ce cas pas de mode [mode promiscuous](https://fr.wikipedia.org/wiki/Promiscuous_mode!). Pour connaître les options possible utiliser **tcpdump -D** ou **tcpdump --list-interfaces**
 * '-n' Pas de conversion des adresse en noms DNS * '-n' Pas de conversion des adresse en noms DNS
 * '-nn' Pas de conversion des numéros de port en noms * '-nn' Pas de conversion des numéros de port en noms
-* '-p' Ne pas passer en [[https://fr.wikipedia.org/wiki/Promiscuous_mode|mode promiscuous]]. Par défaut tcpdump passe en [[https://fr.wikipedia.org/wiki/Promiscuous_mode|mode promiscuous]] sauf avec '-i any' +* '-p' Ne pas passer en [mode promiscuous](https://fr.wikipedia.org/wiki/Promiscuous_mode). Par défaut tcpdump passe en [mode promiscuous](https://fr.wikipedia.org/wiki/Promiscuous_modesauf avec '-i any' 
-* '-w fichier' Comme "Write". Suivie du nom du fichier à écrire la capture. Par convention ce fichier porte souvent [[https://fr.wikipedia.org/wiki/Extension_de_nom_de_fichier|l’extension]] .cap+* '-w fichier' Comme "Write". Suivie du nom du fichier à écrire la capture. Par convention ce fichier porte souvent l’extension .cap
 * '-r fichier' Comme "Read". Pour relire un fichier PCAP * '-r fichier' Comme "Read". Pour relire un fichier PCAP
 * '-C taille' Taille en 1 000 000 octets. Utile quant on fait un tcpdump sur un serveur distant pour ne pas occuper tout l'espace disque. * '-C taille' Taille en 1 000 000 octets. Utile quant on fait un tcpdump sur un serveur distant pour ne pas occuper tout l'espace disque.
-* '-A' Affiche sur la sortie standard la capture en [[https://fr.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange|ASCII]]+* '-A' Affiche sur la sortie standard la capture en ASCII
 * '-l' Make stdout line buffered. Useful if you want to see the data while capturing it. E.g., ''tcpdump -l | tee dat'' * '-l' Make stdout line buffered. Useful if you want to see the data while capturing it. E.g., ''tcpdump -l | tee dat''
  
Ligne 35: Ligne 36:
  
 Audit flux réseaux .Voir [[audit]] Audit flux réseaux .Voir [[audit]]
-<code bash>+~~~bash
 tcpdump -p -qtn -i eth0 tcp and not host 192.168.1.11 tcpdump -p -qtn -i eth0 tcp and not host 192.168.1.11
 tcpdump -p -qtn -i eth0 tcp and dst net 192.168.3.0/24 tcpdump -p -qtn -i eth0 tcp and dst net 192.168.3.0/24
-</code>+~~~
  
 Le reste de la commande utilise la syntaxe BPF  Le reste de la commande utilise la syntaxe BPF 
-[[http://biot.com/capstats/bpf.htm]] +http://biot.com/capstats/bpf.htm 
-[[http://www.cs.ucr.edu/~marios/ethereal-tcpdump.pdf]]+http://www.cs.ucr.edu/~marios/ethereal-tcpdump.pdf
  
  
 Autres exemples Autres exemples
-<code bash>+~~~bash
 tcpdump -i eth0 src 192.168.2.100 and dst 192.168.2.11 and icmp tcpdump -i eth0 src 192.168.2.100 and dst 192.168.2.11 and icmp
  
 # Dans les 2 sens # Dans les 2 sens
 tcpdump -i eth0 host 192.168.2.100 and host 192.168.2.11 and icmp tcpdump -i eth0 host 192.168.2.100 and host 192.168.2.11 and icmp
-</code>+~~~
  
 Trafique entrant (input) seulement Trafique entrant (input) seulement
-<code bash>+~~~bash
 tcpdump -Qin tcpdump -Qin
-</code>+~~~
  
 Trafique sortant (output) seulement Trafique sortant (output) seulement
-<code bash>+~~~bash
 tcpdump -Qout tcpdump -Qout
-</code>+~~~
  
 Web Web
-<code bash>+~~~bash
 tcpdump -s 0 -v -n -l host 192.168.142.19 or host 192.168.238.21 or host 192.168.222.19 |egrep -i "POST /|GET /|Host:" |nl tcpdump -s 0 -v -n -l host 192.168.142.19 or host 192.168.238.21 or host 192.168.222.19 |egrep -i "POST /|GET /|Host:" |nl
-</code>+~~~
  
-<code bash> +~~~bash 
-tcpdump -nn -A -s1500 -l | grep "User-Agent: +tcpdump -nn -A -s1500 -l | grep "User-Agent:" 
-</code>+~~~
  
  
-=== Autres+### Autres
  
-<code bash>+~~~bash
 tcpdump -x -X -s128 host 192.168.230.17 and host 192.168.70.235 and port 4440 -w /var/log/tcpdump.pcap tcpdump -x -X -s128 host 192.168.230.17 and host 192.168.70.235 and port 4440 -w /var/log/tcpdump.pcap
  
 tcpdump -s0 -ni 0.0:nnnp host 192.168.230.17 -vv -w /var/log/tcpdump2.pcap tcpdump -s0 -ni 0.0:nnnp host 192.168.230.17 -vv -w /var/log/tcpdump2.pcap
-</code>+~~~
  
  
  
  
tech/notes_tcpdump.1742825205.txt.gz · Dernière modification : de 127.0.0.1
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki