| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| tech:notes_tcpdump [2025/03/24 16:21] – Jean-Baptiste | tech:notes_tcpdump [2026/01/08 15:34] (Version actuelle) – Jean-Baptiste |
|---|
| Les options suivantes sont souvent utilisées : | Les options suivantes sont souvent utilisées : |
| * '-s taille' Spécifie la taille des paquets capturés. 0 = Pas de limite. '-s0' est souvent utilisé afin de ne pas tronquer les paquets capturés | * '-s taille' Spécifie la taille des paquets capturés. 0 = Pas de limite. '-s0' est souvent utilisé afin de ne pas tronquer les paquets capturés |
| * '-i interface' Spécifie la carte réseau à utiliser. '-i any' pour toutes les cartes (dans ce cas pas de mode [[https://fr.wikipedia.org/wiki/Promiscuous_mode|mode promiscuous]] !). Pour connaître les options possible utiliser **tcpdump -D** ou **tcpdump --list-interfaces** | * '-i interface' Spécifie la carte réseau à utiliser. '-i any' pour toutes les cartes (dans ce cas pas de mode [mode promiscuous](https://fr.wikipedia.org/wiki/Promiscuous_mode) !). Pour connaître les options possible utiliser **tcpdump -D** ou **tcpdump --list-interfaces** |
| * '-n' Pas de conversion des adresse en noms DNS | * '-n' Pas de conversion des adresse en noms DNS |
| * '-nn' Pas de conversion des numéros de port en noms | * '-nn' Pas de conversion des numéros de port en noms |
| * '-p' Ne pas passer en [[https://fr.wikipedia.org/wiki/Promiscuous_mode|mode promiscuous]]. Par défaut tcpdump passe en [[https://fr.wikipedia.org/wiki/Promiscuous_mode|mode promiscuous]] sauf avec '-i any' | * '-p' Ne pas passer en [mode promiscuous](https://fr.wikipedia.org/wiki/Promiscuous_mode). Par défaut tcpdump passe en [mode promiscuous](https://fr.wikipedia.org/wiki/Promiscuous_mode) sauf avec '-i any' |
| * '-w fichier' Comme "Write". Suivie du nom du fichier à écrire la capture. Par convention ce fichier porte souvent [[https://fr.wikipedia.org/wiki/Extension_de_nom_de_fichier|l’extension]] .cap | * '-w fichier' Comme "Write". Suivie du nom du fichier à écrire la capture. Par convention ce fichier porte souvent l’extension .cap |
| * '-r fichier' Comme "Read". Pour relire un fichier PCAP | * '-r fichier' Comme "Read". Pour relire un fichier PCAP |
| * '-C taille' Taille en 1 000 000 octets. Utile quant on fait un tcpdump sur un serveur distant pour ne pas occuper tout l'espace disque. | * '-C taille' Taille en 1 000 000 octets. Utile quant on fait un tcpdump sur un serveur distant pour ne pas occuper tout l'espace disque. |
| * '-A' Affiche sur la sortie standard la capture en [[https://fr.wikipedia.org/wiki/American_Standard_Code_for_Information_Interchange|ASCII]] | * '-A' Affiche sur la sortie standard la capture en ASCII |
| * '-l' Make stdout line buffered. Useful if you want to see the data while capturing it. E.g., ''tcpdump -l | tee dat'' | * '-l' Make stdout line buffered. Useful if you want to see the data while capturing it. E.g., ''tcpdump -l | tee dat'' |
| |
| |
| Le reste de la commande utilise la syntaxe BPF | Le reste de la commande utilise la syntaxe BPF |
| [[http://biot.com/capstats/bpf.htm]] | * http://biot.com/capstats/bpf.htm |
| [[http://www.cs.ucr.edu/~marios/ethereal-tcpdump.pdf]] | * http://www.cs.ucr.edu/~marios/ethereal-tcpdump.pdf |
| |
| |
| |
| ~~~bash | ~~~bash |
| tcpdump -nn -A -s1500 -l | grep "User-Agent: | tcpdump -nn -A -s1500 -l | grep "User-Agent:" |
| ~~~ | ~~~ |
| |
