Dans notre article précédent, nous avons vu 20 commandes Netstat pour surveiller ou gérer le réseau Linux. Ceci est notre autre série doutils de renifleur de paquets appelée tcpdump. Ici, nous allons vous montrer comment installer tcpdump, puis nous discuterons et couvrirons quelques commandes utiles avec leurs exemples pratiques.
tcpdump est un outil de renifleur ou danalyse de paquets en ligne de commande le plus puissant et le plus utilisé. pour capturer ou filtrer les paquets TCP / IP reçus ou transférés sur un réseau sur une interface spécifique. Il est disponible sous la plupart des systèmes dexploitation basés sur Linux / Unix. tcpdump nous donne également une option pour enregistrer les paquets capturés dans un fichier pour une analyse future. Il enregistre le fichier au format pcap, qui peut être visualisé par la commande tcpdump ou un outil open source basé sur une interface graphique appelé Wireshark (Network Protocol Analyzier) qui lit les fichiers au format tcpdump pcap.
Comment installer tcpdump sous Linux
De nombreuses distributions Linux sont déjà livrées avec loutil tcpdump, si vous ne lavez pas sur les systèmes, vous pouvez linstaller en utilisant la commande Yum suivante.
# yum install tcpdump
Une fois loutil tcpdump installé sur les systèmes, vous pouvez continuer à parcourir les commandes suivantes avec leurs exemples.
1. Capturer des paquets à partir dune interface spécifique
Lécran de commande défilera jusquà ce que vous interrompiez et lorsque nous exécutons la commande tcpdump, il capturera à partir de toutes les interfaces, mais avec le commutateur -i, capturez uniquement à partir de linterface désirée.
2. Capturer uniquement N nombre de paquets
Lorsque vous exécutez la commande tcpdump, il capturera tous les paquets pour linterface spécifiée, jusquà ce que vous cliquiez sur le bouton dannulation. Mais en utilisant loption -c, vous pouvez capturer un nombre spécifié de paquets. Lexemple ci-dessous ne capturera que 6 paquets.
3. Imprimer les paquets capturés en ASCII
La commande tcpdump ci-dessous avec loption -A affiche le paquet au format ASCII. Cest un format de schéma dencodage de caractères.
4. Afficher les interfaces disponibles
Pour répertorier le nombre dinterfaces disponibles sur le système, exécutez la commande suivante avec loption -D.
5. Afficher les paquets capturés en HEX et ASCII
La commande suivante avec loption -XX capture les données de chaque paquet, y compris son en-tête de niveau de liaison au format HEX et ASCII.
6. Capturer et enregistrer des paquets dans un fichier
Comme nous lavons dit, tcpdump a une fonction pour capturer et enregistrer le fichier au format .pcap, pour ce faire, exécutez simplement la commande avec loption -w.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Lire le fichier de paquets capturés
Pour lire et analyser le fichier 0001.pcap du paquet capturé, utilisez la commande avec loption -r, comme indiqué ci-dessous.
8. Capturer des paquets dadresses IP
Pour capturer des paquets pour une interface spécifique, exécutez la commande suivante avec loption -n.
9. Capturez uniquement les paquets TCP.
Pour capturer des paquets basés sur le port TCP, exécutez la commande suivante avec loption tcp.
10. Capturer un paquet depuis un port spécifique
Supposons que vous souhaitiez capturer des paquets pour un port spécifique 22, exécutez la commande ci-dessous en spécifiant le numéro de port 22 comme indiqué ci-dessous.
11. Capturer des paquets depuis lIP source
Pour capturer des paquets depuis lIP source, disons que vous voulez capturer des paquets pour 192.168.0.2, utilisez la commande comme suit.
12. Capturer des paquets depuis lIP de destination
Pour capturer des paquets depuis lIP de destination, disons que vous voulez capturer des paquets pour 50.116.66.139, utilisez la commande comme suit.