Aide-mémoire tcpdump

CENT OS et REDHAT

$ sudo miam installez tcpdump

Feutre

$ dnf installer tcpdump

Ubuntu, Debian et Linux Mint

#apt-get installe tcpdump

Changer

Syntaxe

Description

-j'en ai aucun

tcpdump -je n'importe quel

Capturez depuis toutes les interfaces

-dans eth0

tcpdump -i eth0

Capture depuis une interface spécifique (Ex Eth0)

-c

tcpdump -i eth0 -c 10

Capturez les 10 premiers paquets et quittez

-D

tcpdump -D

Afficher les interfaces disponibles

-UN

tcpdump -i eth0 -A

Imprimer en ASCII

-dans

tcpdump -i eth0 -w tcpdump.txt

Pour enregistrer la capture dans un fichier

-r

tcpdump -r tcpdump.txt

Lire et analyser le fichier de capture enregistré

-n

tcpdump -n -I eth0

Ne résolvez pas les noms d'hôte

-nn

tcpdump -n -i eth0

Arrêtez la traduction et les recherches de noms de domaine (noms d'hôte ou noms de port)

tcp

tcpdump -i eth0 -c 10 -w tcpdump.pcap tcp

Capturez uniquement les paquets TCP

port

tcpdump -i port eth0 80

Capturez le trafic d'un port défini uniquement

hôte

hôte tcpdump 192.168.1.100

Capturer les paquets d'un hôte spécifique

filet

tcpdump net 10.1.1.0/16

Capturer des fichiers à partir du sous-réseau du réseau

src

tcpdumpsrc 10.1.1.100

Capture à partir d'une adresse source spécifique

heure d'été

tcpdump dst 10.1.1.100

Capture à partir d'une adresse de destination spécifique

tcpdump http

Filtrer le trafic en fonction d'un numéro de port pour un service

tcpdump port 80

Filtrer le trafic en fonction d'un service

plage de ports

plage de port tcpdump 21-125

Filtre basé sur la plage de ports

-S

tcpdump -S http

Afficher le paquet entier

IPv6

tcpdunp-IPV6

Afficher uniquement les paquets IPV6

-d

tcpdump -d tcpdump.pcap

afficher une forme lisible par l'homme dans la sortie standard

-F

tcpdump -F tcpdump.pcap

Utiliser le fichier donné comme entrée pour le filtre

-JE

tcpdump -I eth0

définir l'interface comme mode moniteur

-L

tcpdump -L

Afficher les types de liaison de données pour l'interface

-N

tcpdump -N tcpdump.pcap

ne pas imprimer les noms de domaine

-K

tcpdump -K tcpdump.pcap

Ne pas vérifier la somme de contrôle

-p

tcpdump -p -i eth0

Ne pas capturer en mode promiscuité

Opérateur

Syntaxe

Exemple

Description

ET

et, &&

tcpdump -n src 192.168.1.1 et port dst 21

Combiner les options de filtrage

OU

ou, ||

tcpdump dst 10.1.1.1 && !icmp

L’une ou l’autre des conditions peut correspondre

SAUF

pas, !

tcpdump dst 10.1.1.1 et non icmp

Négation de la condition

MOINS

<

tcpdump<32

Affiche la taille des paquets inférieure à 32

PLUS GRAND

>

tcpdump >=32

Affiche la taille des paquets supérieure à 32

Changer

Description

-q

Le mode assez et moins verbeux affiche moins de détails

-t

Ne pas imprimer les détails de l'horodatage dans le dump

-dans

Peu de sortie verbeuse

-vv

Sortie plus verbeuse

-Office de tourisme

Sortie la plus détaillée

-X

Imprimer les données et les en-têtes au format HEX

-xx

Imprimer les données avec les en-têtes de lien au format HEX

-X

Sortie d'impression au format HEX et ASCIIà l'exclusionen-têtes de liens

-XX

Sortie d'impression au format HEX et ASCIIy comprisen-têtes de liens

-et

Imprimer les en-têtes du lien (Ethernet)

-S

Imprimer les numéros de séquence au format exact

Éther, fddi, icmp, ip, ip6, ppp, radio, rarp, slip, tcp, udp, wlan

src/ dsthost (nom d'hôte ou IP)

Filtrer par adresse IP source ou destination ou par hôte

hôte ether src/dst (nom d'hôte Ethernet ou IP)

Filtrage des hôtes Ethernet par source ou destination

src/ dstnet (masque de sous-réseau en CIDR)

Filtrer par sous-réseau

port tcp/udp src/dst (numéro de port)

Filtrer les paquets TCP ou UDP par port source ou destination

plage de ports tcp/udp src/dst (plage de numéros de port)

Filtrer les paquets TCP ou UDP par plage de ports source ou de destination

diffusion éther/ip

Filtrer les diffusions Ethernet ou IP

multidiffusion Ethernet/IP

Filtrer les multidiffusions Ethernet ou IP