Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tech:notes_tcpdump [2025/03/24 15:06] – créée - modification externe 127.0.0.1
+++ tech:notes_tcpdump [2026/01/08 15:34] (Version actuelle) – Jean-Baptiste
@@ Ligne 1: / Ligne 1: @@
+<!DOCTYPE markdown>
 {{tag>Réseau Sniff Packet}}
-= Notes commande tcpdump
+# Notes commande tcpdump
@@ Ligne 16: / Ligne 17: @@
 * [[Notes analyse de paquets réseau avec Wireshark|Wireshark]]
-<code bash>
+~~~bash
 tcpdump -s0 -C 100 -i eth0 -n -w NOUVEAU_FICHIER.cap
-</code>
+~~~
 Les options suivantes sont souvent utilisées :
 * '-s taille' Spécifie la taille des paquets capturés. 0 = Pas de limite. '-s0' est souvent utilisé afin de ne pas tronquer les paquets capturés
-* '-i interface' Spécifie la carte réseau à utiliser. '-i any' pour toutes les cartes (dans ce cas pas de mode [[https://fr.wikipedia.org/wiki/Promiscuous_mode|mode promiscuous]] !). Pour connaître les options possible utiliser **tcpdump -D** ou **tcpdump --list-interfaces**
+* '-i interface' Spécifie la carte réseau à utiliser. '-i any' pour toutes les cartes (dans ce cas pas de mode [mode promiscuous](https://fr.wikipedia.org/wiki/Promiscuous_mode) !). Pour connaître les options possible utiliser **tcpdump -D** ou **tcpdump --list-interfaces**
 * '-n' Pas de conversion des adresse en noms DNS
 * '-nn' Pas de conversion des numéros de port en noms
-* '-p' Ne pas passer en [[https://fr.wikipedia.org/wiki/Promiscuous_mode|mode promiscuous]]. Par défaut tcpdump passe en [[https://fr.wikipedia.org/wiki/Promiscuous_mode|mode promiscuous]] sauf avec '-i any'
+* '-p' Ne pas passer en [mode promiscuous](https://fr.wikipedia.org/wiki/Promiscuous_mode). Par défaut tcpdump passe en [mode promiscuous](https://fr.wikipedia.org/wiki/Promiscuous_mode) sauf avec '-i any'
-* '-w fichier' Comme "Write". Suivie du nom du fichier à écrire la capture. Par convention ce fichier porte souvent [[https://fr.wikipedia.org/wiki/Extension_de_nom_de_fichier|l’extension]] .cap
+* '-w fichier' Comme "Write". Suivie du nom du fichier à écrire la capture. Par convention ce fichier porte souvent l’extension .cap
 * '-r fichier' Comme "Read". Pour relire un fichier PCAP
 * '-C taille' Taille en 1 000 000 octets. Utile quant on fait un tcpdump sur un serveur distant pour ne pas occuper tout l'espace disque.
-* '-A' Affiche sur la sortie standard la capture en [[https://fr.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange|ASCII]]
+* '-A' Affiche sur la sortie standard la capture en ASCII
 * '-l' Make stdout line buffered. Useful if you want to see the data while capturing it. E.g., ''tcpdump -l | tee dat''
@@ Ligne 35: / Ligne 36: @@
 Audit flux réseaux .Voir [[audit]]
-<code bash>
+~~~bash
 tcpdump -p -qtn -i eth0 tcp and not host 192.168.1.11
 tcpdump -p -qtn -i eth0 tcp and dst net 192.168.3.0/24
-</code>
+~~~
 Le reste de la commande utilise la syntaxe BPF
-[[http://biot.com/capstats/bpf.htm]]
+* http://biot.com/capstats/bpf.htm
-[[http://www.cs.ucr.edu/~marios/ethereal-tcpdump.pdf]]
+* http://www.cs.ucr.edu/~marios/ethereal-tcpdump.pdf
 Autres exemples
-<code bash>
+~~~bash
 tcpdump -i eth0 src 192.168.2.100 and dst 192.168.2.11 and icmp
 # Dans les 2 sens
 tcpdump -i eth0 host 192.168.2.100 and host 192.168.2.11 and icmp
-</code>
+~~~
 Trafique entrant (input) seulement
-<code bash>
+~~~bash
 tcpdump -Qin
-</code>
+~~~
 Trafique sortant (output) seulement
-<code bash>
+~~~bash
 tcpdump -Qout
-</code>
+~~~
 Web
-<code bash>
+~~~bash
 tcpdump -s 0 -v -n -l host 192.168.142.19 or host 192.168.238.21 or host 192.168.222.19 |egrep -i "POST /|GET /|Host:" |nl
-</code>
+~~~
-<code bash>
+~~~bash
-tcpdump -nn -A -s1500 -l | grep "User-Agent:
+tcpdump -nn -A -s1500 -l | grep "User-Agent:"
-</code>
+~~~
-=== Autres
+### Autres
-<code bash>
+~~~bash
 tcpdump -x -X -s128 host 192.168.230.17 and host 192.168.70.235 and port 4440 -w /var/log/tcpdump.pcap
 tcpdump -s0 -ni 0.0:nnnp host 192.168.230.17 -vv -w /var/log/tcpdump2.pcap
-</code>
+~~~