11 exemples avec la commande Tcpdump pour débugger son réseau

Tcpdump est un utilitaire en ligne de commande qui vous permet de capturer et d’analyser le trafic réseau transitant par votre système. Il est souvent utilisé pour résoudre les problèmes de réseau, ainsi qu’un outil de sécurité.
 
 
Outil puissant et polyvalent comprenant de nombreuses options et plusieurs filtres, tcpdump peut être utilisé dans de nombreux cas. Comme il s’agit d’un outil en ligne de commande, il est idéal de l’exécuter sur des serveurs ou des périphériques distants pour lesquels aucune interface graphique n’est disponible, afin de collecter des données pouvant être analysées ultérieurement. Il peut également être lancé en arrière-plan ou sous forme d’une tâche planifié à l’aide d’un cron.

Comment installer tcpdump sous Linux

La plupart des distributions Linux déjà livrées avec l’outil tcpdump, si vous ne l’avez pas sur votre système, vous pouvez l’installer à l’aide de la commande suivante.

[root@waytolearnx ~]# yum install tcpdump

 

1. Capturer des paquets depuis une interface spécifique

Avec l’option -i, vous pouvez capturez des paquets à partir de l’interface où il y a de trafics.

[root@waytolearnx ~]# tcpdump -i eth0

 

2. Capturez uniquement N paquets

Lorsque vous exécutez la commande tcpdump, tous les paquets de l’interface spécifiée seront capturés jusqu’à ce que vous cliquez sur ctrl+c. Mais en utilisant l’option -c, vous pouvez capturer un nombre limité de paquets. L’exemple ci-dessous ne capture que 4 paquets.

[root@waytolearnx ~]# tcpdump -c 4 -i eth0

 

3. Afficher les interfaces disponibles

Pour lister les interfaces disponibles sur le système, exécutez la commande suivante avec l’option -D.

[root@waytolearnx ~]# tcpdump -D

 

4. Afficher les paquets capturés en HEX et ASCII

La commande suivante avec l’option -XX capture les données de chaque paquet, y compris son en-tête au niveau de la couche liaison de données au format HEX et ASCII.

[root@waytolearnx ~]# tcpdump -XX -i eth0

 
 

5. Capturer et enregistrer des paquets dans un fichier

tcpdump possède une fonctionnalité permettant de capturer et d’enregistrer le trafic dans un fichier sous format .pcap. Pour ce faire, il suffit d’exécuter la commande avec l’option -w.

[root@waytolearnx ~]# tcpdump -w trafic_capturé.pcap -i eth0

 

6. Lire le fichier de paquets capturés

Pour lire et analyser le fichier « trafic_capturé.pcap » du paquet capturé, utilisez la commande avec l’option -r, comme indiqué ci-dessous.

[root@waytolearnx ~]# tcpdump -r trafic_capturé.pcap

 

7. Capturer les paquets d’adresse IP

[root@waytolearnx ~]# tcpdump -n -i eth0

 

8. Capturez uniquement les paquets TCP

Pour capturer des paquets basés sur le port TCP, exécutez la commande suivante avec l’option tcp.

[root@waytolearnx ~]# tcpdump -i eth0 tcp

 

9. Capturer des paquets depuis un port spécifique

Supposons que vous souhaitiez capturer des paquets pour un port spécifique ex:443(HTTPS), exécutez la commande ci-dessous en spécifiant le numéro de port 443, comme indiqué ci-dessous.

[root@waytolearnx ~]# tcpdump -i eth0 port 443

 

10. Capturer des paquets depuis une adresse IP source

Pour capturer des paquets à partir d’une adresse IP source, ex:192.168.1.5, utilisez la commande comme suit.

[root@waytolearnx ~]# tcpdump -i eth0 src 192.168.1.5

 

11. Capturer des paquets depuis une adresse IP de destination

Pour capturer des paquets à partir d’une adresse IP de destination, ex:172.217.19.142, utilisez la commande comme suit.

[root@waytolearnx ~]# tcpdump -i eth0 dst 172.217.19.142