- Utilisation des touches et syntaxe de la commande tcpdump
- Tableau de triche des commandes tcpdump
- Les options de la commande tcpdump
- Exemples d'utilisation de la commande tcpdump
- Capturer des paquets sur une interface spécifique
- Capturer le trafic HTTP (port 80)
- Capturer et enregistrer le trafic dans un fichier
- Lire les paquets capturés à partir d'un fichier
- Sortie détaillée pour des informations détaillées sur les paquets
- Capturer le trafic pendant une durée spécifique
- Capturer et afficher des données hexadécimales et ASCII
- Utilisation de tcpdump pour le dépannage réseau
- Résumé
Le Linux tcpdump Command est un puissant analyseur de paquets réseau utilisé pour surveiller et dépanner le trafic réseau. Il permet de capturer et d'afficher les paquets transitant par une interface réseau, fournissant ainsi des informations précieuses sur l'activité du réseau. C'est un outil largement utilisé pour le diagnostic réseau, l'analyse de sécurité et l'analyse du trafic.
Utilisation et syntaxe des clés tcpdump Command #
Le tcpdump la commande suit une structure syntaxique de base :
tcpdump [OPTIONS] [EXPRESSION]
- OPTIONS modifier le comportement de tcpdump, par exemple -i pour spécifier l'interface ou -w pour écrire la sortie dans un fichier.
- EXPRESSION Filtre les paquets capturés selon des critères tels que l'adresse IP source/destination, le port ou le protocole. En cas d'omission, tous les paquets sont capturés.
tcpdump Tableau de triche des commandes #
| Command | Description |
tcpdump -i eth0 |
Capturer des paquets sur l'interface réseau eth0 |
tcpdump -i eth0 port 80 |
Capturer le trafic HTTP (port 80) sur l'interface eth0 |
tcpdump -w capture.pcap |
Écrire les paquets capturés dans un fichier (capture.pcap) |
tcpdump -r capture.pcap |
Lire et afficher les paquets d'un fichier précédemment capturé |
tcpdump -n |
Afficher les adresses IP et les ports sans résoudre les noms d'hôtes ou les noms de services |
tcpdump -c 100 |
Capturez seulement 100 paquets, puis arrêtez |
tcpdump -v |
Fournit une sortie détaillée, affichant plus de détails sur les paquets |
tcpdump -X |
Afficher le contenu du paquet en hexadécimal et en ASCII |
Le tcpdump Options de commande #
-i: Spécifier l'interface #
Pour capturer des paquets sur une interface réseau spécifique, utilisez le -i option suivie du nom de l'interface (par exemple, eth0, wlan0) :
tcpdump -i eth0
Cette commande capture tous les paquets sur le eth0 interface.
-w: Écrire la sortie dans un fichier #
Pour enregistrer les paquets capturés dans un fichier pour une analyse ultérieure, utilisez le -w option:
tcpdump -w capture.pcap
Cela écrit tous les paquets capturés dans un fichier nommé capture.pcap.
-r: Lire les paquets à partir du fichier #
Pour lire les paquets d’un fichier précédemment capturé, utilisez le -r option:
tcpdump -r capture.pcap
Cette commande lit et affiche les paquets stockés dans le capture.pcap fichier.
-n: Afficher la sortie numérique #
Le -n l'option empêche tcpdump à partir de l'exécution de la résolution DNS pour les adresses IP et les noms de service, en affichant les adresses brutes à la place :
tcpdump -n
Ceci est utile lorsque vous souhaitez voir les adresses IP et les ports bruts sans les résoudre en noms d'hôtes.
-c: Capturer un nombre spécifique de paquets #
Pour capturer uniquement un nombre spécifique de paquets, puis arrêter, utilisez le -c option:
tcpdump -c 100
Cela capture seulement 100 paquets, après quoi la capture s'arrêtera automatiquement.
-v: Sortie détaillée #
Le -v L'option fournit des informations plus détaillées sur les paquets, y compris des champs supplémentaires tels que TTL, la taille de la fenêtre et les options :
tcpdump -v
Cela est utile lorsque vous avez besoin d’informations plus détaillées sur chaque paquet.
-X: Afficher la sortie hexadécimale et ASCII #
Le -X l'option affiche le contenu de chaque paquet aux formats hexadécimal et ASCII :
tcpdump -X
Cela peut être utile pour examiner les données exactes dans chaque paquet.
Exemples d'utilisation du tcpdump Command #
Capturer des paquets sur une interface spécifique #
Pour capturer tous les paquets sur le eth0 interface:
tcpdump -i eth0
Cette commande capture et affiche tout le trafic réseau passant par eth0.
Capturer le trafic HTTP (port 80) #
Pour capturer des paquets HTTP (généralement sur le port 80) sur le eth0 interface:
tcpdump -i eth0 port 80
Cela filtre le trafic pour afficher uniquement les paquets destinés ou provenant du port 80, qui est couramment utilisé pour le trafic HTTP.
Capturer et enregistrer le trafic dans un fichier #
Pour enregistrer tout le trafic capturé dans un .pcap fichier pour analyse ultérieure :
tcpdump -w capture.pcap
Cela crée un fichier capture.pcap contenant les paquets capturés.
Lire les paquets capturés à partir d'un fichier #
Pour lire et analyser les paquets précédemment capturés à partir du capture.pcap fichier:
tcpdump -r capture.pcap
Cette commande ouvre le fichier et affiche les paquets capturés.
Sortie détaillée pour des informations détaillées sur les paquets #
Pour voir plus de détails sur chaque paquet capturé, utilisez le -v option:
tcpdump -v
Cela affichera des informations supplémentaires, telles que le TTL, la taille de la fenêtre, etc.
Capturer le trafic pendant une durée spécifique #
Pour capturer le trafic pendant une durée spécifique ou un nombre de paquets, vous pouvez limiter la capture à l'aide de l' -c option:
tcpdump -i eth0 -c 50
Cette commande capture 50 paquets sur le eth0 interface puis s'arrête automatiquement.
Capturer et afficher des données hexadécimales et ASCII #
Pour afficher le contenu des paquets aux formats hexadécimal et ASCII :
tcpdump -X
Cela affichera à la fois la représentation hexadécimale et l'équivalent ASCII des données de chaque paquet.
L'utilisation de tcpdump pour le dépannage du réseau #
Le tcpdump Cette commande est particulièrement utile pour diagnostiquer les problèmes réseau. Voici quelques exemples pratiques :
Identification des problèmes de perte de paquets ou de latence #
En capturant et en analysant les paquets réseau, vous pouvez détecter les pertes de paquets ou les problèmes de latence. Par exemple, vous pouvez capturer les paquets ICMP pour observer les temps d'aller-retour :
tcpdump -i eth0 icmp
Ce filtre pour les paquets ICMP, qui sont couramment utilisés pour le dépannage de la connectivité réseau (par exemple, ping).
Analyse du trafic entre deux hôtes #
Pour capturer le trafic entre deux hôtes spécifiques, vous pouvez utiliser le host filtre:
tcpdump -i eth0 host 192.168.1.10
Cela capture tout le trafic impliquant 192.168.1.10 sur le eth0 interface.
Surveillance des requêtes DNS #
Pour capturer les requêtes DNS, filtrez le trafic UDP sur le port 53 :
tcpdump -i eth0 port 53
Cette commande capture les requêtes et les réponses DNS sur le eth0 interface.
Résumé #
En résumé, Linux tcpdump Command est un outil extrêmement polyvalent et puissant pour l'analyse et le dépannage réseau. Sa capacité à capturer et filtrer les paquets réseau le rend indispensable aux administrateurs et aux professionnels de la sécurité. Que vous capturiez l'intégralité du trafic sur une interface, analysiez des protocoles ou des ports spécifiques, ou enregistriez des données pour une inspection ultérieure, tcpdump fournit une solution robuste et flexible pour travailler avec le trafic réseau.
L'utilisation de tcpdump vous permet de diagnostiquer efficacement les problèmes, d'optimiser les configurations réseau et d'améliorer la sécurité en surveillant le comportement du réseau en temps réel.
