Documente Academic
Documente Profesional
Documente Cultură
net
Accueil
Windows
Linux
Hardware
Web
Page 1 sur 3
Jeux
Dimanche 14
Dcembre
2014
Linux
Rseau
Liens populaires
TCPdump
Ecouter et capturer des paquets IP
sur le rseau
Cracker un point
d'accs wifi
Naviguer en
toute scurit
TCPdump est un outil pour couter tous ce qui ce passe sur vos interface rseau et permet de capturer les paquets IP.
Acclerer le
dmarrage de
Windows
Prendre le control
du compte root
Horloge en temps
rel par internet
Commande de base
Il est prfrable de lancer TCPdump avec les droits du compte root, pour permtre votre interface rseau d'accepter tous les
paquets IP, mme ceux qui ne lui sont pas destins.
La commande de base pour couter tous ce qui ce passe sur votre interface avec les options par dfault:
# tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
07:52:18.994930 IP octetmalin > google-public-dns-a.google.com: ICMP echo request, id 10714, seq 1, length 64
07:52:18.995320 IP octetmalin.54085 > neufbox.domain: 2274+ PTR? 8.8.8.8.in-addr.arpa. (38)
07:52:18.997254 IP neufbox.domain > octetmalin.54085: 2274 1/0/0 PTR google-public-dns-a.google.com. (82)
07:52:18.997418 IP octetmalin.54475 > neufbox.domain: 37556+ PTR? 1.1.168.192.in-addr.arpa. (42)
07:52:18.998588 IP neufbox.domain > octetmalin.54475: 37556* 1/0/0 PTR neufbox. (63)
07:52:19.041883 IP google-public-dns-a.google.com > octetmalin: ICMP echo reply, id 10714, seq 1, length 64
07:52:19.995006 IP octetmalin > google-public-dns-a.google.com: ICMP echo request, id 10714, seq 2, length 64
07:52:20.041359 IP google-public-dns-a.google.com > octetmalin: ICMP echo reply, id 10714, seq 2, length 64
07:52:20.995942 IP octetmalin > google-public-dns-a.google.com: ICMP echo request, id 10714, seq 3, length 64
07:52:21.042651 IP google-public-dns-a.google.com > octetmalin: ICMP echo reply, id 10714, seq 3, length 64
07:52:21.995985 IP octetmalin > google-public-dns-a.google.com: ICMP echo request, id 10714, seq 4, length 64
07:52:22.042926 IP google-public-dns-a.google.com > octetmalin: ICMP echo reply, id 10714, seq 4, length 64
07:52:22.995828 IP octetmalin > google-public-dns-a.google.com: ICMP echo request, id 10714, seq 5, length 64
Comme vous pouvez le voir, chaque ligne reprsente une transmission d'un paquet IP.
Les dernires lignes reprsente un ping que j'ai fait vers un serveur DNS de Google, le 8.8.8.8.
On peut voir que l'envoi est suivie de la rception et ainsi de suite.
Voici le dtail d'une transmission:
Heure d'arrive du paquet sur l'interface rseau
Type de protocole TCP, UDP, IGMP, ARP, ...
Adresse-rseau-source
Port-rseau-source
>
Adresse-rseau-destination
Port-rseau-destination
Requte ping, DNS, HTTP, FTp ...
Pour vous aidez vous disposez de la liste des numro de port correspondant au nom du port dans le fichier /etc/services.
# nano /etc/services
Par exemple:
# grep ftp /etc/services
ftp
21/tcp
http://www.octetmalin.net/linux/tutoriels/tcpdump-ecouter-capturer-paquet-ip-reseau.... 14/12/2014
Page 2 sur 3
L'optin "-D" permet d'afficher les interfaces rseaux disponibles pour la capture:
tcpdump -D
1.eth1
2.any (Pseudo-device that captures on all interfaces)
3.lo
L'option "-n" permet de ne pas faire de rsolution des nom et ainsi voir les IP.
# tcpdump -n
08:50:38.741674
08:50:38.789402
08:50:39.742845
08:50:39.789252
IP
IP
IP
IP
ICMP
ICMP
ICMP
ICMP
echo
echo
echo
echo
L'option "-v" permet d'avoir plus d'information (v comme verbose, en Franais bavard):
# tcpdump -v
Filtrage
Permet d'afficher uniquement les paquets ftp du port 21
# tcpdump port ftp
ou
# tcpdump port 21
Permet d'afficher les paquets qui ont pour adresse de destination et/ou sources 192.168.1.144
# tcpdump host 192.168.1.144
Permet d'afficher les paquets qui ont pour adresse de destination 192.168.1.144
# tcpdump dst 192.168.1.144
Permet d'afficher les paquets qui ont pour adresse source 192.168.1.144
# tcpdump src 192.168.1.144
http://www.octetmalin.net/linux/tutoriels/tcpdump-ecouter-capturer-paquet-ip-reseau.... 14/12/2014
Page 3 sur 3
Affiche tous les paquets en provenance de 192.168.1.144 vers 192.168.20.32 sur le port 21 en tcp.
# tcpdump src host 192.168.1.144 and dst host 192.168.20.32 and port 21 and tcp
Affiche tous les paquets en provenance de 192.168.1.144 vers 192.168.20.32 sur le port 21 en tcp.
# tcpdump -x -X -s 0 src host 192.168.1.144 and dst host 192.168.20.32 and port 21 and tcp
Capturer un paquet IP
L'option "-w" permet de capturer des paquets dans un fichier qui pourra tre analys plus tard:
# tcpdump -w nom_du_fichier
Exemple:
# tcpdump -w capture.tcpdump
Par O.Cdric
Sur www.octetmalin.net
Article publi le:
11/06/2011 18:21
Contact - Informations -
http://www.octetmalin.net/linux/tutoriels/tcpdump-ecouter-capturer-paquet-ip-reseau.... 14/12/2014