La capture de paquets est un moyen très utile d’analyser le fonctionnement interne d’un réseau. Il existe une variété d’outils différents disponibles qui sont développés à cette fin. L’un d’eux est tcpdump. Nous vous montrons ici comment tirer le meilleur parti de cet excellent outil pour les ingénieurs réseau et les testeurs d’intrusion.

Qu’est-ce que tcpdump ?

tcpdump est un outil d’analyse de paquets réseau qui a été développé et publié en 1988 par une équipe d’informaticiens travaillant au Lawrence Berkeley Laboratory et son Network Research Group. Il est utilisé pour afficher le contenu des paquets qu’un ordinateur envoie et reçoit. L’utilitaire est livré avec une variété d’options pour rendre la capture de paquets plus spécifique et ciblée. Certaines de ces options incluent différents protocoles réseau et interfaces réseau.

Installation

De nombreuses distributions Linux sont livrées avec l’utilitaire installé dès la sortie de la boîte. Cependant, si la distribution de votre choix ne le fait pas, l’installation est heureusement simple et rapide.

Si vous utilisez Ubuntu ou Debian, par exemple, il peut être installé à l’aide de apt:

Sur CentOS, la même chose est faite en utilisant yum:

Et sur Arch Linux en utilisant pacman:

Les bases

Avec tcpdump installé, vous pouvez consulter le manuel en utilisant le -h drapeau:

Cela vous montre une liste des drapeaux que vous pouvez utiliser lors de l’utilisation de l’outil.

Commande d'aide Tcpdump

Si vous souhaitez consulter un manuel plus complet et détaillé, vous pouvez afficher la page de manuel (page de manuel) en utilisant le man commander:

Page de manuel Tcpdump

Vous pouvez exécuter une capture de paquets de base en tapant :

En utilisant la commande seule et en ne spécifiant pas d’interface réseau, l’outil en choisira une parmi les interfaces disponibles sur votre système.

Si vous ne souhaitez pas que tcpdump résolve les noms d’hôtes et qu’il ne génère que des adresses IP, vous pouvez utiliser le -n drapeau:

Si vous souhaitez spécifier le nombre de paquets que vous souhaitez capturer, utilisez le -c drapeau:

tcpdump -c [number of packets]

Spécification d’une interface réseau

Vous pouvez spécifier votre choix d’interface réseau en utilisant le -i drapeau:

eth0 et wlan0 sont deux des noms d’interface réseau les plus courants sur la plupart des systèmes :

tcpdump -i eth0
tcpdump -i wlan0

Si vous souhaitez capturer des données sur toutes les interfaces, vous pouvez utiliser le any option:

Capture Tcpdump de toutes les interfaces

Spécification d’un port/plage de ports

Si vous souhaitez uniquement capturer des données qui utilisent un numéro de port spécifique, utilisez la commande :

tcpdump -i [interface] port [port number]

Supposons que vous souhaitiez capturer le trafic sur le eth0 interface et pour le port 443 (HTTPS). Tapez ce qui suit :

De plus, tcpdump vous permet de spécifier une plage de ports :

tcpdump -i [interface] portrange [port range]

Spécification d’un hôte ou d’un sous-réseau

Il y aura des moments où vous voudrez limiter les paquets capturés uniquement à ceux envoyés/reçus d’un hôte ou d’un sous-réseau spécifique. Heureusement, tcpdump vous permet de le faire.

Vous pouvez spécifier un hôte en utilisant le format suivant :

tcpdump -i [interface] host [host]

Par exemple, capturez le trafic sur l’interface eth0 et spécifiez l’hôte comme 127.0.0.1 (votre propre adresse IP de bouclage) :

tcpdump -i eth0 host 127.0.0.1
Capture du trafic de l'hôte Tcpdump

Si vous souhaitez spécifier un sous-réseau à l’aide de la notation CIDR, vous pouvez utiliser le format suivant :

tcpdump -i [interface] net [subnet]

Par exemple:

tcpdump -i eth0 net 10.0.0.0/8

Vous pouvez également spécifier directement un hôte source :

tcpdump -i [interface] src [host]

Et un hôte de destination :

tcpdump -i [interface] dst [host]

Spécification de la verbosité

tcpdump vous permet de spécifier la verbosité de la capture de paquets. Ceci est très utile lorsque vous ne voulez pas être submergé par la quantité d’informations lors d’une capture.

Il existe trois options incrémentielles pour la verbosité, les drapeaux -v, -vv et -vvv:

tcpdump -i [interface] -v
tcpdump -i [interface] -vv
tcpdump -i [interface] -vvv
Tcpdump Spécifier la verbosité

La première option spécifie le moins de verbosité, tandis que la troisième option en spécifie le plus.

Enregistrement de la capture dans un fichier

Il est souvent utile d’enregistrer les données capturées dans un fichier, afin qu’elles puissent être analysées et interprétées plus avant.

Cela se fait en utilisant le -w drapeau:

tcpdump -i [interface] -w [filename]

Par exemple, vous pouvez enregistrer les données capturées dans un fichier appelé « capture.txt »:

tcpdump -i eth0 -w capture.txt

Questions fréquemment posées

1. J’ai reçu une erreur « Opération non autorisée ». Comment puis-je le résoudre ?

Voici une erreur courante que les utilisateurs peuvent recevoir lorsqu’ils essaient d’utiliser tcpdump :

Erreur d'opération Tcpdump non autorisée

tcpdump vous donne cette erreur lorsque vous ne disposez pas des autorisations nécessaires pour effectuer la capture de paquets. Dans la plupart des scénarios, vous pouvez résoudre ce problème en utilisant sudo. Par exemple:

2. Comment savoir quelles interfaces réseau sont disponibles ?

tcpdump a une fonctionnalité intégrée qui vous permet de vérifier les interfaces réseau disponibles sur votre système.

Pour vérifier les interfaces, utilisez le -D drapeau:

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici