L'analyseur de paquets tcpdump

tcpdump est un analyseur de paquets comparable à Wireshark mais en ligne de commande.

Environnement

Les principales options

Les opérateurs

root@host:~# tcpdump -nnvvS and src 10.5.2.3 and dst port 3389
root@host:~# tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16
root@host:~# tcpdump -vv src mars and not dst port 22
root@host:~# tcpdump 'src 10.0.2.4 and (dst port 3389 or 22)'

Exemples

Exemples principaux

root@host:~# tcpdump host 1.2.3.4
root@host:~# tcpdump src 1.2.3.4
root@host:~# tcpdump icmp
root@host:~# tcpdump port 443
root@host:~# tcpdump portrange 443-445
root@host:~# tcpdump src port 443
root@host:~# tcpdump src port 443 and tcp

Le trafic IPsec

Lorsque l'on effectue un tcpdump depuis une machine qui a établit un tunnel ipsec on ne sera pas en mesure de voir le trafic en clair. On ne verra uniquement que les trames ESP chiffrées. Pour être en mesure de visualiser le trames en clair nous allons avoir besoin d'utiliser netfilter/iptables avec nflog.

root@host:~# iptables -t mangle -I PREROUTING -m policy --pol ipsec --dir in -j NFLOG --nflog-group 5
root@host:~# iptables -t mangle -I POSTROUTING -m policy --pol ipsec --dir out -j NFLOG --nflog-group 5
root@host:~# tcpdump -s 0 -n -i nflog:5

Références

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :