Tcpdump est un outil gratuit installé par défaut sur les distributions linux. Il permet de capturer le trafic réseau en émission et en réception du host sur lequel il est installé.

Commande de base :

tcpdump

Afficher plus d’information :

tcpdump –v

Afficher le contenu des paquets :

tcpdump –v –A

Ne pas résoudre les adresses IP

tcpdump –n

Filtrer :

Filtre par protocole :

tcpdump tcp

tcpdump proto tcp

tcpdump proto gre

Filtre par host :

tcpdump host www.google.fr # capturer tout le trafic provenant ou à destination de www.google.fr

tcpdump dst www.google.fr # trafic à destination de www.google.fr

tcpdump src www.google.fr # trafic en provenance de www.google.fr

Utiliser plusieurs options :

tcpdump ‘dst www.google.fr and port 80’ # trafic à destination de www.google.fr et utilisant le port 80

tcpdump ‘tcp and not (host 192.168.0.1 and port 22)’ # trafic tcp qui n’est pas une connexion ssh de l’host 192.168.0.1