Tcpdump est un outil gratuit installé par défaut sur les distributions linux. Il permet de capturer le trafic réseau en émission et en réception du host sur lequel il est installé.
Commande de base :
tcpdump
Afficher plus d’information :
tcpdump –v
Afficher le contenu des paquets :
tcpdump –v –A
Ne pas résoudre les adresses IP
tcpdump –n
Filtrer :
Filtre par protocole :
tcpdump tcp
tcpdump proto \\tcp
tcpdump proto gre
Filtre par host :
tcpdump host www.google.fr # capturer tout le trafic provenant ou à destination de www.google.fr
tcpdump dst www.google.fr # trafic à destination de www.google.fr
tcpdump src www.google.fr # trafic en provenance de www.google.fr
Utiliser plusieurs options :
tcpdump ‘dst www.google.fr and port 80’ # trafic à destination de www.google.fr et utilisant le port 80
tcpdump ‘tcp and not (host 192.168.0.1 and port 22)’ # trafic tcp qui n’est pas une connexion ssh de l’host 192.168.0.1