tcpdump |
Sortie de TCP |
---|---|
Linux | Externe |
Syntaxe
tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -E spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -Z user ] [ expression ] |
Paramètres
Nom | Description |
---|---|
-A | Ce paramètre permet d'afficher chaque paquet en ASCII. |
-c count | Ce paramètre permet de sortir après avoir reçu le nombre de paquets spécifié. |
-C file_size | Ce paramètre permet d'indiquer qu'il faut vérifier qu'un fichier est la taille spécifié avant de d'écrit un paquet brute dans un fichier de sauvegarde. Si le fichier est fermer, le réouvre. |
-d | Ce paramètre permet de sortie la correspondance de code de paquet compilé, lisible par un humain, vers la sortie standard et arrête. |
-dd | Ce paramètre permet de sortie la correspondance de code de paquet avec des fragments de programme C. |
-ddd | Ce paramètre permet de sortie la correspondance de code de paquet avec les nombres décimal (précédé par un compteur). |
-D | Ce paramètre permet d'afficher la liste des interfaces réseaux disponibles pour le système et dans lequel la commande peut capturer des paquets. |
-e | Ce paramètre permet d'afficher les entêtes de niveau de liaison pour chacune des lignes sorties. |
-E spi@ipaddr algo:secret,... | Ce paramètre permet d'indiquer qu'il faut utiliser un algorithme d'encodage secret SPI spécifié. |
-f | Ce paramètre permet d'indiquer qu'il faut afficher les adresses numérique IPv4 symboliquement. |
-F file | Ce paramètre permet d'indiquer qu'il faut utiliser l'entrée de fichier pour le filtre d'expression. |
-i interface | Ce paramètre permet d'écouter un interface spécifié. |
-l | Ce paramètre permet de fabriquer une ligne de tampon stdout. |
-L | Ce paramètre permet d'afficher la liste des types de données de liaison pour l'interface et termine immédiatement après. |
-m module | Ce paramètre permet d'effectuer le chargement de définition de module SMI MIB d'un fichier de module spécifié. |
-M secret | Ce paramètre permet de spécifier une clef secrète partagé pour valider pour trouver le TCP avec les options TCP-MD5 (RFC 2385), si présent. |
-n | Ce paramètre permet d'indiquer qu'il ne faut effectuer la conversion des adresses (adresse de l'hôte, numéro de port) en leurs noms équivalents. |
-N | Ce paramètre permet d'indiquer qu'il ne faut pas afficher le nom de domaine qualifié pour les noms de l'hôte. |
-O | Ce paramètre permet d'indiquer qu'il ne faut pas exécuter le code optimisé pour le paquet correspondant. |
-p | Ce paramètre permet d'indiquer qu'il ne faut pas mettre l'interface dans un mode de promiscuité (illégale). |
-q | Ce paramètre permet d'indiquer qu'il faut effectuer une sortie rapide et abrégé des informations. |
-R | Ce paramètre permet d'indiquer qu'il faut supposer que les paquets ESP/AH sont basées sur les anciennes spécifications du RFC1825 à RFC1829. |
-r file | Ce paramètre permet d'indiquer qu'il faut effectuer la lecture des paquets à partir du fichier spécifié. |
-S | Ce paramètre permet d'afficher les séquences de nombres TCP en absolue plutôt qu'en relatif. |
-s snaplen | Ce paramètre permet de spécifier le nombre d'octets de données pour chaque paquet. La valeur par défaut est 68. |
-T type | Ce paramètre permet de forcer les paquets sélectionner par une expression à être interprété par le type spécifié. |
-t | Ce paramètre permet de ne pas afficher le timestamp pour chaque ligne sortie. |
-tt | Ce paramètre permet d'afficher le timestamp non-formaté pour chaque ligne sortie. |
-ttt | Ce paramètre permet d'afficher l'écart de temps, en microsecondes, entre la ligne courante et la ligne précédente pour chaque ligne sortie. |
-tttt | Ce paramètre permet d'afficher le format de date par défaut du timestamp pour chaque ligne sortie. |
-u | Ce paramètre permet d'afficher les gestionnaires de décodage NFS. |
-U | Ce paramètre permet d'indiquer que chaque paquet doit être écrit dans un fichier. |
-v | Ce paramètre permet d'indiquer qu'il faut effectuer un affichage détaillé. |
-vv | Ce paramètre permet d'indiquer qu'il faut effectuer un affichage plus détaillé. |
-vvv | Ce paramètre permet d'indiquer qu'il faut effectuer un affichage pleinement détaillé. |
-w file | Ce paramètre permet d'indiquer qu'il faut écrire les paquets brutes vers le fichier plutôt que d'analyser et d'afficher ceux-ci. |
-W filecount | Ce paramètre permet de limiter le nombre de fichiers créer pour le nombre spécifié et recommence à écraser les fichiers au début afin de créer une rotation des tampons. |
-x | Ce paramètre permet d'indiquer que lorsqu'il analyse et afficher les paquets, il faut afficher chaque paquet en hexadécimal sans son niveau d'entête de liaison. |
-xx | Ce paramètre permet d'indiquer que lorsqu'il analyse et afficher les paquets, il faut afficher chaque paquet en hexadécimal avec son niveau d'entête de liaison. |
-X | Ce paramètre permet d'indiquer que lorsqu'il analyse et afficher les paquets, il faut afficher chaque paquet en hexadécimal et en ASCII sans son niveau d'entête de liaison. |
-XX | Ce paramètre permet d'indiquer que lorsqu'il analyse et afficher les paquets, il faut afficher chaque paquet en hexadécimal et en ASCII avec son niveau d'entête de liaison. |
-y datalinktype | Ce paramètre permet de fixer le type de données de liaison à utiliser pour la capture de paquets vers celui spécifié. |
-Z | Ce paramètre permet de supprimer les privilèges (si racine) et change l'identificateur utilisateur vers un identificateur de groupe et un identificateur d'utilisateur du groupe primaire de l'utilisateur. |
Description
Cette commande permet d'afficher l'état du trafic réseau.
Exemple
L'exemple suivant permet de voir la circulation réseau sans tenir compte de la circulation de TightVNC :
sudo tcpdump -i eth1 | grep -v 5900 |
on obtiendra un résultat ressemblant à ceci :
[sudo] password for gladir: tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes 15:48:30.804123 IP gladir-Ubuntu.49920 > 192.168.0.1.domain: 29402+ PTR? 197.0.168.192.in-addr.arpa. (44) 15:48:30.812892 IP gladir-Ubuntu.52415 > 192.168.0.1.domain: 55447+ PTR? 1.0.168.192.in-addr.arpa. (42) 15:48:39.055060 ARP, Request who-has 192.168.0.200 (Broadcast) tell 192.168.0.1, length 46 15:48:39.055346 IP gladir-Ubuntu.59647 > 192.168.0.1.domain: 11498+ PTR? 200.0.168.192.in-addr.arpa. (44) 15:48:39.067080 IP 192.168.0.1.domain > gladir-Ubuntu.59647: 11498 NXDomain 0/0/0 (44) 15:48:39.167727 IP6 fe80::beae:c5ff:fe48:6e0c.mdns > ff02::fb.mdns: 0 PTR (QM)? 200.0.168.192.in-addr.arpa. (44) 15:48:39.167802 IP gladir-Ubuntu.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 200.0.168.192.in-addr.arpa. (44) 15:48:40.169291 IP6 fe80::beae:c5ff:fe48:6e0c.mdns > ff02::fb.mdns: 0 PTR (QM)? 200.0.168.192.in-addr.arpa. (44) 15:48:40.169370 IP gladir-Ubuntu.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 200.0.168.192.in-addr.arpa. (44) 15:48:44.070535 IP gladir-Ubuntu.56415 > 192.168.0.1.domain: 49328+ PTR? b.f.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.f.f.ip6.arpa. (90) 15:48:44.078045 IP 192.168.0.1.domain > gladir-Ubuntu.56415: 49328 NXDomain 0/1/0 (160) 15:48:44.078349 IP gladir-Ubuntu.51149 > 192.168.0.1.domain: 29116+ PTR? c.0.e.6.8.4.e.f.f.f.5.c.e.a.e.b.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa. (90) 15:48:44.137104 IP gladir-Ubuntu.34223 > 192.168.0.1.domain: 54082+ PTR? 251.0.0.224.in-addr.arpa. (42) 15:48:50.281741 ARP, Request who-has MalteAMD4.local (Broadcast) tell 192.168.0.1, length 46 |
Voir également
Système d'exploitation - Linux - Références de commandes et de programmes - stty
DNS - Création d'un DNS en réseau local pour un site Web
Dernière mise à jour : Samedi, le 30 avril 2016