12 commandes TCPDUmp - Un outil de renifleur de réseau

12 commandes TCPDUmp - Un outil de renifleur de réseau

Dans notre article précédent, nous avons vu 20 commandes Netstat (NetStat maintenant remplacés par la commande SS) pour surveiller ou gérer un réseau Linux. Ceci est notre autre série en cours d'outil de renifleur de paquets appelé tcpdump. Ici, nous allons vous montrer comment installer tcpdump Et puis nous discutons et couvrons quelques commandes utiles avec leurs exemples pratiques.

Exemples de commande Linux TCPDump

tcpdump est un outil de renifleur de paquets de commande le plus puissant et le plus largement utilisé qui est utilisé pour capturer ou filtrer TCP / IP paquets reçus ou transférés sur un réseau sur une interface spécifique.

[Vous pourriez également aimer: 16 outils de surveillance de bande passante utiles pour analyser l'utilisation du réseau dans Linux]

Il est disponible sous la plupart des Linux / Unix systèmes d'exploitation. TCPDump nous donne également une option pour enregistrer les paquets capturés dans un fichier pour une analyse future. Il enregistre le fichier dans un PCAP Format, qui peut être visualisé par la commande TCPDUmp ou un outil basé sur GUI open source appelé Wireshark (Network Protocol Analyzer) qui lit TCPDump PCAP Format de fichiers.

Comment installer TCPDump dans Linux

De nombreuses distributions Linux déjà expédiées avec le tcpdump Outil, si si vous ne l'avez pas sur un système, vous pouvez l'installer en utilisant l'une des commandes suivantes.

$ sudo apt-get install tcpdump [sur Debian, Ubuntu et Mint] $ sudo yum install tcpdump [sur Rhel / centos / fedora et Rocky Linux / Almalinux] $ sudo émerge -a sys-apps / tcpdump [sur Gentoo Linux] $ sudo pacman -s tcpdump [sur Arch Linux] $ sudo zypper installer tcpdump [sur Ouverte]] 

Début avec des exemples de commande TCPDUmp

Une fois la tcpdump L'outil est installé sur votre système, vous pouvez continuer à parcourir les commandes suivantes avec leurs exemples.

1. Capture des paquets à partir d'interface spécifique

L'écran de commande fera défiler jusqu'à l'interruption et lorsque nous exécutons le tcpdump commander qu'il capture à partir de toutes les interfaces, cependant avec -je Commutation ne capture que de l'interface souhaitée.

# tcpdump -i eth0 TCPDUmp: Sortie verbale supprimée, utilisez -v ou -vv pour le décodage complet du protocole écoute sur Eth0, de type link-10MB (Ethernet), taille de capture 65535 octets 11:33:31.976358 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 3500440357: 3500440553, ACK 3652628334, gagner 18760, longueur 196 11:33:31.976603 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.ssh: drapeaux [.], ACK 196, Win 64487, longueur 0 11:33:31.977243 ARP, demande qui.com tell 172.16.25.126, longueur 28 11:33:31.977359 ARP, Répondre Tecmint.com is-at 00: 14: 5e: 67: 26: 1d (oui inconnu), longueur 46 11:33:31.977367 IP 172.16.25.126.54807> Tecmint.com: 4240+ ptr? 125.25.16.172.indem.arpa. (44) 11:33:31.977599 IP Tecmint.com> 172.16.25.126.54807: 4240 nxdomain 0/1/0 (121) 11:33:31.977742 IP 172.16.25.126.44519> Tecmint.com: 40988+ ptr? 126.25.16.172.indem.arpa. (44) 11:33:32.028747 IP 172.16.20.33.netbios-ns> 172.16.31.255.NetBiOS-NS: paquet UDP NBT (137): requête; DEMANDE; Diffusion 11:33:32.112045 IP 172.16.21.153.netbios-ns> 172.16.31.255.NetBiOS-NS: paquet UDP NBT (137): requête; DEMANDE; Diffusion 11:33:32.115606 IP 172.16.21.144.netbios-ns> 172.16.31.255.NetBiOS-NS: paquet UDP NBT (137): requête; DEMANDE; Diffusion 11:33:32.156576 ARP, demande qui est 172.16.16.37 Tell Old-Oraclehp1.midcorp.midi.com, longueur 46 11:33:32.348738 IP Tecmint.com> 172.16.25.126.44519: 40988 Nxdomain 0/1/0 (121)

2. Capturez uniquement N nombre de paquets

Lorsque vous exécutez le tcpdump Commande qu'il capturera tous les paquets pour l'interface spécifiée, jusqu'à ce que vous frapper le bouton Annuler. Mais en utilisant -c Option, vous pouvez capturer un nombre spécifié de paquets. L'exemple ci-dessous ne capture que 6 paquets.

# tcpdump -c 5 -i eth0 TCPDUMP: Sortie verbose supprimée, utilisez -v ou -vv pour le protocole complet Décode Écoute sur Eth0, Link-Type EN10MB (Ethernet), taille de capture 65535 octets 11:40:20.281355 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 3500447285: 3500447481, ACK 3652629474, Win 18760, longueur 196 11:40:20.281586 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.ssh: drapeaux [.], ACK 196, Win 65235, longueur 0 11:40:20.282244 arp, demande qui.com tell 172.16.25.126, longueur 28 11:40:20.282360 ARP, Répondre tecmint.com is-at 00: 14: 5e: 67: 26: 1d (oui inconnu), longueur 46 11:40:20.282369 IP 172.16.25.126.53216> Tecmint.com.domaine: 49504+ ptr? 125.25.16.172.indem.arpa. (44) 11:40:20.332494 IP Tecmint.com.netbios-ssn> 172.16.26.17.Nimaux: drapeaux [P.], SEQ 3058424861: 3058424914, ACK 693912021, Win 64190, longueur 53 Paquet de session NBT: Message de session 6 paquets capturés 23 paquets reçus par filtre 0 paquets abandonnés par le noyau

3. Imprimer des paquets capturés en ASCII

Le dessous tcpdump Commande avec l'option -UN Affiche le package dans Ascii format. C'est un format de schéma codant pour les caractères.

# tcpdump -a -i eth0 TCPDUMP: Sortie verbale supprimée, utilisez -v ou -vv pour le décodage complet du protocole Écoute sur ETH0, Link-Type EN10MB (Ethernet), taille de capture 65535 octets 09:31:31.347508 IP 192.168.0.2.ssh> 192.168.0.1.Nokia-Ann-Ch1: Flags [P.], SEQ 3329372346: 3329372542, ACK 4193416789, gagner 17688, longueur 196 m.R0… VUP.E.X… ~.%…> N… ofk… kQ…) EQ.d.,… R ^ l… m \ [e-mail protégé] _… J… i.*… 2F.MQH… Q.C… 6… 9.V.gb…;… 4.).Uicy]… 9… x.)… Z.Xf… '|… e… m… u.5… UL 09:31:31.347760 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.ssh: drapeaux [.], ACK 196, Win 64351, longueur 0 m… VU.R1 ~ P… _… ^ C09: 31: 31.349560 IP 192.168.0.2.46393> b.résolve.Niveau 3.filet.domaine: 11148+ ptr? 1.0.168.192.indem.arpa. (42) [Protégé par e-mail] @… 9.5.2.f +… 1.0.168.192.indem.ARPA… 3 paquets capturés 11 paquets reçus par filtre 0 paquets abandonnés par le noyau

4. Afficher les interfaces disponibles

Pour répertorier le nombre d'interfaces disponibles sur le système, exécutez la commande suivante avec -D option.

# tcpdump -d 1.ETH0 2.ETH1 3.USBMON1 (Bus USB numéro 1) 4.USBMON2 (Bus USB numéro 2) 5.USBMON3 (Bus USB numéro 3) 6.USBMON4 (Bus USB numéro 4) 7.USBMON5 (bus USB numéro 5) 8.n'importe quel (pseudo-appareils qui capture sur toutes les interfaces) 9.à

5. Affichage des paquets capturés en hexadécimal et ASCII

La commande suivante avec option -Xx Capturez les données de chaque paquet, y compris son en-tête de niveau de liaison dans Hexagonal et Ascii format.

# tcpdump -xx -i eth0 11:51:18.974360 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 3509235537: 3509235733, ACK 3652638190, WIN.W… l… h… e. 0x0010: 00ec 8783 4000 4006 275D AC10 197E AC10 [Protégé par e-mail] @.']… ~… 0x0020: 197d 0016 1129 D12A AF51 D9B6 D5EE 5018 .…).*.Q… P. 0x0030: 4948 8BFA 0000 0E12 EA4D 22D1 67C0 F123 IH… M ".G… # 0x0040: 9013 8F68 AA70 29F3 2EFC C512 5660 4FE8… H.p)… v'o. 0x0050: 590A D631 F939 DD06 E36A 69ED CAC2 95B6 Y… 1.9… JI… 0x0060: F8BA B42A 344B 8E56 A5C4 B3A2 ED82 C3A1… * 4K.V… 0x0070: 80C8 7980 11AC 9BD7 5B01 18D5 8180 4536… Y… [… E6 0x0080: 30fd 4f6d 4190 F66F 2E24 E877 ED23 8EB0 0.Oma… o.$.w.#… 0x0090: 5A1D F3EC 4BE4 E0FB 8553 7C85 17D9 866F Z… K… S |… O 0X00A0: C279 0D9C 8F9D 445B 7B01 81EB 1B63 7F12 .Y… D [… C… 0x00B0: 71B3 1357 52C7 CF00 95C6 C9F6 63B1 CA51 Q… WR… C… Q 0X00C0: 0AC6 456E 0620 38E6 10CB 6139 FB2A A756… EN… 8… A9.*.V 0x00D0: 37D6 C5F3 F5F3 D8E8 3316 D14F D7AB FD93 7… 3… O… 0x00E0: 1137 61C1 6A5C B4D1 DDDA 380A F782 D983 .7a.J \… 8… 0x00f0: 62ff A5A9 BB39 4F80 668A B… 9O.F. 11:51:18.974759 IP 172.16.25.126.60952> MDDC-01.midcorp.midi.com.domaine: 14620+ ptr? 125.25.16.172.indem.arpa. (44) 0x0000: 0014 5e67 261d 0001 6c99 1468 0800 4500… ^ g &… l… h… e. 0x0010: 0048 5A83 4000 4011 5E25 AC10 197E AC10 [Protégé par e-mail] @.^%… ~… 0x0020: 105E EE18 0035 0034 8242 391C 0100 0001 .^… 5.4.B9… 0x0030: 0000 0000 0000 0331 3235 0232 3502 3136… 125.25.16 0x0040: 0331 3732 0769 6E2D 6164 6472 0461 7270 .172.indem.ARP 0x0050: 6100 000c 0001 a… 

6. Capturer et enregistrer les paquets dans un fichier

Comme nous l'avons dit, que tcpdump a une fonctionnalité à capturer et à enregistrer le fichier dans un .PCAP format, pour ce faire, exécutez simplement la commande avec -w option.

# tcpdump -w 0001.PCAP -I ETH0 TCPDUmp: écoute sur Eth0, de type lien en10Mb (Ethernet), taille de capture 65535 octets 4 paquets capturés 4 paquets reçus par filtre 0 paquets déposés par noyau

7. Lire le fichier de paquets capturés

Pour lire et analyser le paquet capturé 0001.PCAP Fichier Utilisez la commande avec -r Option, comme indiqué ci-dessous.

# tcpdump -r 0001.PCAP Lire à partir du fichier 0001.PCAP, Link-Type EN10MB (Ethernet) 09:59:34.839117 IP 192.168.0.2.ssh> 192.168.0.1.Nokia-Ann-Ch1: Flags [P.], SEQ 3353041614: 3353041746, ACK 4193563273, Win 18760, longueur 132 09:59:34.963022 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.ssh: drapeaux [.], ack 132, gagner 65351, longueur 0 09:59:36.935309 IP 192.168.0.1.netbios-dgm> 192.168.0.255.netbios-dgm: paquet UDP NBT (138) 09:59:37.528731 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.ssh: drapeaux [p.], seq 1:53, ack 132, gagner 65351, longueur 5

8. Capturez les paquets d'adresses IP

Pour capturer des paquets pour une interface spécifique, exécutez la commande suivante avec l'option -n.

# tcpdump -n -i eth0 TCPDUMP: Sortie verbale supprimée, utilisez -v ou -vv pour le décodage complet du protocole écoute sur Eth0, de type lien en10MB (Ethernet), taille de capture 65535 octets 12:07:03.952358 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 3509512873: 3509513069, ACK 3652639034, Win 18760, longueur 196 12:07:03.952602 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.ssh: drapeaux [.], ACK 196, Win 64171, longueur 0 12:07:03.953311 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 196: 504, ACK 1, Win 18760, longueur 308 12:07:03.954288 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 504: 668, ACK 1, Win 18760, longueur 164 12:07:03.954502 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.ssh: drapeaux [.], ack 668, gagner 65535, longueur 0 12:07:03.955298 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 668: 944, ACK 1, Win 18760, longueur 276 12:07:03.955425 IP 172.16.23.16.netbios-ns> 172.16.31.255.NetBiOS-NS: Paquet UDP NBT (137): Enregistrement; DEMANDE; Diffusion 12:07:03.956299 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 944: 1236, ACK 1, Win 18760, longueur 292 12:07:03.956535 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.ssh: drapeaux [.], ack 1236, gagner 64967, longueur 0

9. Capturez uniquement les paquets TCP.

Pour capturer des paquets en fonction de TCP port, exécutez la commande suivante avec l'option TCP.

# tcpdump -i eth0 tcp TCPDUMP: Sortie verbale supprimée, utilisez -v ou -vv pour le décodage complet du protocole Écoute sur Eth0, Link-Type EN10MB (Ethernet), taille de capture 65535 octets 12:10:36.216358 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 3509646029: 3509646225, ACK 3652640142, Win 18760, longueur 196 12:10:36.216592 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.ssh: drapeaux [.], ACK 196, Win 64687, longueur 0 12:10:36.219069 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 196: 504, ACK 1, Win 18760, longueur 308 12:10:36.220039 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 504: 668, ACK 1, Win 18760, longueur 164 12:10:36.220260 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.ssh: drapeaux [.], ACK 668, Win 64215, longueur 0 12:10:36.222045 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 668: 944, ACK 1, Win 18760, longueur 276 12:10:36.223036 IP 172.16.25.126.ssh> 172.16.25.125.apwi-rxspooler: drapeaux [p.], SEQ 944: 1108, ACK 1, Win 18760, longueur 164 12:10:36.223252 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.ssh: drapeaux [.], ack 1108, gagner 65535, longueur 0 ^ c12: 10: 36.223461 IP à mi-paie.midcorp.midi.com.netbios-ssn> 172.16.22.183.Recette: drapeaux [.], SEQ 283256512: 283256513, ACK 550465221, Win 65531, longueur 1 [| SMB]

dix. Capture le paquet à partir d'un port spécifique

Disons que vous souhaitez capturer des paquets pour un port spécifique 22, exécutez la commande ci-dessous en spécifiant le numéro de port 22 comme indiqué ci-dessous.

# TCPDUMP -I ETH0 PORT 22 TCPDUMP: Sortie verbale supprimée, utilisez -v ou -vv pour le décodage complet du protocole Écoute sur Eth0, Link-Type EN10MB (Ethernet), taille de capture 65535 octets 10:37:49.056927 IP 192.168.0.2.ssh> 192.168.0.1.Nokia-Ann-Ch1: Flags [P.], SEQ 3364204694: 3364204890, ACK 4193655445, gagner 20904, longueur 196 10:37:49.196436 IP 192.168.0.2.ssh> 192.168.0.1.Nokia-Ann-Ch1: Flags [P.], SEQ 4294967244: 196, ACK 1, Win 20904, longueur 248 10:37:49.196615 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.ssh: drapeaux [.], ACK 196, Win 64491, longueur 0 10:37:49.379298 IP 192.168.0.2.ssh> 192.168.0.1.Nokia-Ann-Ch1: Flags [P.], SEQ 196: 616, ACK 1, Win 20904, longueur 420 10:37:49.381080 IP 192.168.0.2.ssh> 192.168.0.1.Nokia-Ann-Ch1: Flags [P.], SEQ 616: 780, ACK 1, Win 20904, longueur 164 10:37:49.381322 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.ssh: drapeaux [.], ACK 780, Win 65535, longueur 0

11. Capturer les paquets de la source IP

Pour capturer les paquets de Source IP, Dites que vous voulez capturer des paquets pour 192.168.0.2, Utilisez la commande comme suit.

# tcpdump -i eth0 src 192.168.0.2 TCPDUmp: Sortie verbose supprimée, utilisez -v ou -vv pour le décodage complet du protocole écoute sur Eth0, de type link-10MB (Ethernet), taille de capture 65535 octets 10:49:15.746474 IP 192.168.0.2.ssh> 192.168.0.1.Nokia-Ann-Ch1: Flags [P.], SEQ 3364578842: 3364579038, ACK 4193668445, Win 20904, longueur 196 10:49:15.748554 IP 192.168.0.2.56200> B.résolve.Niveau 3.filet.domaine: 11289+ ptr? 1.0.168.192.indem.arpa. (42) 10:49:15.912165 IP 192.168.0.2.56234> b.résolve.Niveau 3.filet.domaine: 53106+ ptr? 2.0.168.192.indem.arpa. (42) 10:49:16.074720 IP 192.168.0.2.33961> B.résolve.Niveau 3.filet.domaine: 38447+ ptr? 2.2.2.4.indem.arpa. (38)

12. Capturer les paquets de la destination IP

Pour capturer les paquets depuis la destination IP, Dites que vous voulez capturer des paquets pour 50.116.66.139, Utilisez la commande comme suit.

# tcpdump -i eth0 dst 50.116.66.139 TCPDUMP: Sortie verbale supprimée, utilisez -v ou -vv pour le décodage complet du protocole écoute sur Eth0, de type lien en10MB (Ethernet), taille de capture 65535 octets 10:55:01.798591 IP 192.168.0.2.59896> 50.116.66.139.http: drapeaux [.], ACK 2480401451, Win 318, Options [NOP, NOP, TS Val 7955710 ECR 804759402], longueur 0 10:55:05.527476 IP 192.168.0.2.59894> 50.116.66.139.http: drapeaux [f.], SEQ 2521556029, ACK 2164168606, Win 245, Options [NOP, NOP, TS Val 7959439 ECR 804759284], longueur 0 10:55:05.626027 IP 192.168.0.2.59894> 50.116.66.139.http: drapeaux [.], ACK 2, Win 245, Options [NOP, NOP, TS Val 7959537 ECR 804759787], longueur 0

Cet article peut vous aider à explorer le tcpdump commander en profondeur et également capturer et analyser les paquets à l'avenir. Il existe un certain nombre d'options disponibles, vous pouvez utiliser les options selon vos besoins. Veuillez partager si vous trouvez cet article utile via notre boîte de commentaires.