Tweet
tcpdump
I. Téléchargement de tcpdump :
- Voir les dépendances de TCPdump :
Voir la version installée de TCPdump :
II. Utlisation de tcpdump :
- Affichage standard:
- Affichage verbeux (verbose) :
- Interfaces réseaux disponibles pour la capture :
- Affichage des adresses numériques plutôt que des adresses symboliques (DNS) :
- Affichage rapide :
- Capture du traffic d'une interface particulière :
- Capture du trafic UDP:
- Capture du trafic du port TCP 80:
- Capture du trafic à partir d'un fichier stocké dans un fichier :
- Création d'un fichier où le filtre est configuré, ici le port TCP 80.
- Arrêter la capture après 20 paquets :
- Envoi du résultat dans un fichier à la place de directement à l'écran :
- Lecture d'un fichier de capture :
Vous désirez sniffer votre LAN en mode monitor ?
Vous désirez enregistrer tout cela dans un fichier texte ?
Note: la capture étant automatiquement redirigée vers le fichier texte qui sera automatiquement créé sur votre bureau, vous n'apercevrez rien dans le Terminal (mais ça enregistre tout, ne vous inquiétez pas 
).
Un meilleur sniffer en GUI ?
WireShark : Download
Vous trouverez un tutoriel sur Wireshark sur le forum.
"Mieux vaut sniffer des paquets que des lignes... !"
Code:
#apt-get install tcpdump
Code:
#apt-cache depends tcpdump
Code:
tcpdump Depends: libc6 Depends: libpcap0.8 Depends: libssl0.9.8
Code:
#apt-cache policy tcpdump
Code:
tcpdump:
Installed: 3.9.4-2ubuntu0.1
Candidate: 3.9.4-2ubuntu0.1
Version table:
*** 3.9.4-2ubuntu0.1 0
500 http://security.ubuntu.com dapper-security/main Packages
100 /var/lib/dpkg/status
3.9.4-2 0
500 http://ch.archive.ubuntu.com dapper/main Packages
II. Utlisation de tcpdump :
- Affichage standard:
Code:
#tcpdump
Code:
tcpdump : verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
Code:
21:57:29.004426 IP 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53 21:57:31.228013 arp who-has 192.168.1.2 tell 192.168.1.1 21:57:31.228020 arp reply 192.168.1.2 is-at 00:04:75:22:22:22 (oui Unknown) 21:57:38.035382 IP 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53 21:57:38.613206 IP valve-68-142-64-164.phx3.llnw.net.27014 > 192.168.1.2.1034: UDP, length 36
Code:
#tcpdump -v tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
Code:
22:00:11.625995 IP (tos 0x0, ttl 128, id 30917, offset 0, flags [none], proto: UDP (17), length: 81) 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53 22:00:20.691903 IP (tos 0x0, ttl 128, id 31026, offset 0, flags [none], proto: UDP (17), length: 81) 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53 22:00:21.230970 IP (tos 0x0, ttl 114, id 4373, offset 0, flags [none], proto: UDP (17), length: 64) valve-68-142-64-164.phx3.llnw.net.27014 > 192.168.1.2.1034: UDP, length 36 22:00:26.201715 arp who-has 192.168.1.2 tell 192.168.1.1 22:00:26.201726 arp reply 192.168.1.2 is-at 00:04:11:11:11:11 (oui Unknown) 22:00:29.706020 IP (tos 0x0, ttl 128, id 31133, offset 0, flags [none], proto: UDP (17), length: 81) 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53 22:00:38.751355 IP (tos 0x0, ttl 128, id 31256, offset 0, flags [none], proto: UDP (17), length: 81) 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53
Code:
#tcpdump -D 1.eth0 2.any (Pseudo-device that captures on all interfaces) 3.lo
Code:
#tcpdump -n tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
Code:
22:02:36.111595 IP 192.168.1.2.1034 > 68.142.64.164.27014: UDP, length 53 22:02:36.669853 IP 68.142.64.164.27014 > 192.168.1.2.1034: UDP, length 36 22:02:41.702977 arp who-has 192.168.1.2 tell 192.168.1.1 22:02:41.702984 arp reply 192.168.1.2 is-at 00:04:11:11:11:11 22:02:45.106515 IP 192.168.1.2.1034 > 68.142.64.164.27014: UDP, length 53 22:02:50.392139 IP 192.168.1.2.138 > 192.168.1.255.138: NBT UDP PACKET(138) 22:02:54.139658 IP 192.168.1.2.1034 > 68.142.64.164.27014: UDP, length 53 22:02:57.866958 IP 125.175.131.58.3608 > 192.168.1.2.9501: S 3275472679:3275472679(0) win 65535
Code:
#tcpdump -q tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
Code:
22:03:55.594839 IP a213-22-130-46.cpe.netcabo.pt.3546 > 192.168.1.2.9501: tcp 0 22:03:55.698827 IP 192.168.1.2.9501 > a213-22-130-46.cpe.netcabo.pt.3546: tcp 0 22:03:56.068088 IP a213-22-130-46.cpe.netcabo.pt.3546 > 192.168.1.2.9501: tcp 0 22:03:56.068096 IP 192.168.1.2.9501 > a213-22-130-46.cpe.netcabo.pt.3546: tcp 0 22:03:57.362863 IP 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53 22:03:57.964397 IP valve-68-142-64-164.phx3.llnw.net.27014 > 192.168.1.2.1034: UDP, length 36 22:04:06.406521 IP 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53 22:04:15.393757 IP 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53
Code:
tcpdump -i eth0
Code:
#tcpdump udp
Code:
#tcpdump port http
Code:
#tcpdump -F file_name
Code:
#vim file_name port 80
Code:
#tcpdump -c 20
Code:
#tcpdump -w capture.log
Code:
#tcpdump -r capture.log reading from file capture.log, link-type EN10MB (Ethernet)
Code:
09:33:51.977522 IP 192.168.1.36.40332 > rr.knams.wikimedia.org.www: P 1548302662:1548303275(613) ack 148796145 win 16527 09:33:52.031729 IP rr.knams.wikimedia.org.www > 192.168.1.36.40332: . ack 613 win 86 09:33:52.034414 IP rr.knams.wikimedia.org.www > 192.168.1.36.40332: P 1:511(510) ack 613 win86 09:33:52.034786 IP 192.168.1.36.40332 > rr.knams.wikimedia.org.www: . ack 511 win 16527
Code:
tcpdump -n -I -i en1
Code:
tcpdump -n -I -i en1 > /Users/votre-nom-admin/Desktop/logzzz
).Un meilleur sniffer en GUI ?
WireShark : Download
Vous trouverez un tutoriel sur Wireshark sur le forum.
"Mieux vaut sniffer des paquets que des lignes... !"