GNU/Linux >> Tutoriels Linux >  >> Linux

Capturer des paquets avec tcpdump

tcpdump est un puissant outil de débogage réseau que vous pouvez utiliser pour intercepter et afficher des paquets sur une interface réseau. Une fonctionnalité importante de tcpdump est le filtre qui vous permet de n'afficher que les paquets que vous souhaitez voir.

Installer tcpdump

Cet exemple utilise Ubuntu® 18.04, mais les étapes d'installation sont similaires pour les autres distributions Linux®. Utilisez la commande suivante pour installer tcpdump sur un serveur exécutant le système d'exploitation Ubuntu :

sudo apt-get install tcpdump

Utiliser tcpdump

sudo tcpdump [options] [filter expression]

Par défaut, tcpdump capture les paquets sur eth0 . Pour spécifier une interface différente, utilisez le -i indicateur de ligne de commande. La commande suivante capture tous les paquets sur eth1 interface :

sudo tcpdump -i eth1

Utilisez la commande suivante pour écouter toutes les connexions UDP :

sudo tcpdump udp

Utilisez la commande suivante pour capturer des paquets pour un port spécifique :

sudo tcpdump port 80

La commande précédente renvoie tous les paquets qui ont le port 80 comme destination ou port source.

Supposons que vous souhaitiez être plus précis et capturer uniquement les paquets avec le port de destination 80. Si vous avez un serveur Web sur votre cloud, vous pouvez utiliser la commande suivante pour voir les paquets entrants.

sudo tcpdump dst port 80

Vous pouvez également capturer des paquets pour un hôte spécifique. La commande suivante intercepte les paquets provenant uniquement de l'adresse IP 1.2.3.4 :

sudo tcpdump src host 1.2.3.4

tcpdump peut prendre des arguments logiques tels que and ou or . Vous pouvez utiliser des déclarations logiques dans un tcpdump commande. Par exemple, la commande suivante intercepte tous les paquets Secure Shell (SSH) allant d'un serveur SSH à un client avec l'adresse IP 1.2.3.4 :

sudo  tcpdump "src port 22" and "dst host 1.2.3.4"

Vous pouvez facilement enregistrer des paquets bruts dans un fichier en utilisant le -w choix :

tcpdump host 1.2.3.4 -w /home/users/demo/demo.dump

Pour lire le fichier enregistré, utilisez la commande suivante :

tcpdump -r /home/users/demo/demo.dump

Résumé

Les administrateurs système utilisent couramment tcpdump , un puissant outil de renifleur de paquets, pour résoudre les problèmes de réseau et enquêter sur le trafic. Vous pouvez utiliser des expressions booléennes pour capturer les paquets que vous souhaitez examiner.


Linux

  1. Dépannez votre réseau avec tcpdump

  2. Patcher un binaire avec Dd ?

  3. Capturer des groupes avec Awk ou Grep ?

  4. tcpdump - faire pivoter les fichiers de capture en utilisant -G, -W et -C

  5. Dois-je limiter le débit des paquets avec iptables ?

Capturer des paquets avec Tcpdump et les analyser avec Wireshark sur Ubuntu

Tcpdump Exemples - Capturer le trafic réseau sous Linux

Analyse du trafic réseau avec tcpdump

Commande Linux tcpdump

Exemples utiles de tcpdump Linux pour l'administrateur réseau

Analyseur de paquets :15 exemples de commandes TCPDUMP