Présentation
tcpdump est une commande très utile pour inspecter et capturer les paquets réseau entrant et sortant de votre machine. C'est l'un des utilitaires réseau les plus courants pour résoudre les problèmes de réseau et les problèmes de sécurité.
Bien que son nom soit tcpdump, il peut être utilisé pour inspecter le trafic non TCP, y compris UDP, ARP ou ICMP.
Ce didacticiel vous montrera comment utiliser la commande tcpdump dans un système Linux.
Installer tcpdump
Par défaut, tcpdump est installé sur la plupart des distributions Linux. Pour vérifier si le tcpdump est installé ou non, exécutez la commande suivante :
$ tcpdump --version
Sortie :
S'il n'a pas encore été installé, lançons :
$ sudo apt update
$ sudo apt install tcpdump
Capturer les paquets sur les interfaces réseau
Lorsque vous exécutez tcpdump sans aucune option, il capture tous les paquets sur toutes les interfaces réseau de votre ordinateur.
$ sudo tcpdump
Vous devez appuyer sur Ctrl + C pour arrêter.
Pour répertorier toutes les interfaces réseau dont les paquets peuvent être inspectés par la commande tcpdump, exécutez :
$ sudo tcpdump -D
La sortie :
Si vous souhaitez capturer des paquets sur une interface réseau spécifique et limiter les paquets à 6, exécutez la commande suivante :
$ sudo tcpdump -i eth0 -c 6
La sortie :
Capturer des paquets réseau sur un hôte spécifique
Pour capturer les paquets d'un hôte spécifique. Vous pouvez simplement exécuter la commande suivante :
$ sudo tcpdump -n host 172.19.11.101 -c 5
Capturer des paquets réseau sur un port spécifique
Si vous souhaitez filtrer uniquement les paquets réseau sur un port spécifique, exécutons la commande tcpdump avec l'option -n port.
$ sudo tcpdump -n port 22
Capturer les paquets réseau de la source et de la destination
Si vous souhaitez filtrer uniquement les paquets réseau provenant d'une source spécifique, exécutons la commande tcpdump avec l'option src.
$ sudo tcpdump src 172.19.11.210
Afin de capturer uniquement les paquets réseau vers une destination spécifique, exécutez la commande tcpdump avec l'option dst.
$ sudo tcpdump dst 172.19.11.210
Capturez des paquets réseau avec de nombreux filtres combinés
Afin de combiner plusieurs filtres lors de l'exécution de la commande tcpdump, vous pouvez utiliser ces opérateurs :et (&&), ou (||), et non (!). Par exemple, la commande suivante capturera tous les paquets provenant de la source 172.19.11.210 via le port 22.
$ sudo tcpdump src 172.19.11.210 && -n port 22 -c 5
Filtrer le réseau par un protocole
Pour capturer les paquets réseau d'un protocole particulier, spécifions le nom du protocole comme option de commande. Par exemple :
$ sudo tcpdump -n udp
Conclusion
Vous avez déjà expliqué en détail comment utiliser la commande tcpdump pour dépanner et analyser le réseau sur votre système Linux.
Si vous avez des inquiétudes, veuillez me le faire savoir. Merci d'avoir lu.