TCPDUMP

La commande "tcpdump" permet d'afficher les packets, mais pas leur contenu. Comme SNOOP, il fonctionne en ligne de commande. Par défaut, tcpdump utilise l'interface active, si aucune n'est précisée.

Option	Détail	Exemple
-i	Affiche les packets pour une interface spécifique. Utiliser 'any' pour tracer toutes les interfaces	tcpdump -i eth-s1p1 tcpdump -i any
-s0	Affiche les packets sans les tronquer	tcpdump -i eth-s1p1 -s0
-x	Mode "Verbose Hexa" : contenu des packets en Hexadecimal	tcpdump -i eth-s1p1 -x
-X	Mode "Verbose Hexa" : contenu des packets en Hexadecimal et ASCII	tcpdump -i eth-s1p1 -X
-v	Mode "Verbose light"	tcpdump -i eth-s1p1 -v
-vv	Mode "Verbose medium"	tcpdump -i eth-s1p1 -vv
-vvv	Mode "Verbose Full"	tcpdump -i eth-s1p1 -vvv
-w	Enregistre la sortie de TCPDUMP dans le fichier passé en paramètre	tcpdump -i eth-s1p1 -w trc20040427.dump
-r	Affiche le contenu d'un fichier créé avec tcpdump -w	tcpdump -r trc20040427.dump

Condition	Détail	Exemple
host	Affiche les trames pour le host défini en paramètre (peut en général être omis)	tcpdump -i eth-s1p1 host 10.10.10.5 tcpdump -i eth-s1p1 10.10.10.5
src	Affiche les trames ayant pour origine le host défini en paramètre	tcpdump -i eth-s1p1 src host 10.10.10.5
dst	Affiche les trames ayant pour destination le host défini en paramètre	tcpdump -i eth-s1p1 dst host 10.10.10.5
port	Affiche les packets du port précisé	tcpdump -i eth-s1p1 port 21 tcpdump -i eth-s1p1 port ftp
icmp, ip, arp, rarp, udp, tcp	Affiche les packets du protocole précisé	tcpdump -i eth-s1p1 icmp
less	Affiche les packets d'une taille inférieure à celle précisée en paramètre	tcpdump -i eth-s1p1 less 60
great	Affiche les packets d'une taille supérieure à celle précisée en paramètre	tcpdump -i eth-s1p1 greater 96

Le port 22 correspond au ssh (voir la liste des protocoles). Ceci permet par exemple de se connecter en ssh sur un serveur, et d'afficher toutes les traces, sauf celles correspondants à l'administration.