Section courante

A propos

Section administrative du site

tcpdump

Sortie de TCP
Linux Externe

Syntaxe

tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ] [ -C file_size ] [ -F file ] [ -i interface ] [ -m module ] [ -M secret ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ] [ -E spi@ipaddr algo:secret,... ] [ -y datalinktype ] [ -Z user ] [ expression ]

Paramètres

Nom Description
-A Ce paramètre permet d'afficher chaque paquet en ASCII.
-c count Ce paramètre permet de sortir après avoir reçu le nombre de paquets spécifié.
-C file_size Ce paramètre permet d'indiquer qu'il faut vérifier qu'un fichier est la taille spécifié avant de d'écrit un paquet brute dans un fichier de sauvegarde. Si le fichier est fermer, le réouvre.
-d Ce paramètre permet de sortie la correspondance de code de paquet compilé, lisible par un humain, vers la sortie standard et arrête.
-dd Ce paramètre permet de sortie la correspondance de code de paquet avec des fragments de programme C.
-ddd Ce paramètre permet de sortie la correspondance de code de paquet avec les nombres décimal (précédé par un compteur).
-D Ce paramètre permet d'afficher la liste des interfaces réseaux disponibles pour le système et dans lequel la commande peut capturer des paquets.
-e Ce paramètre permet d'afficher les entêtes de niveau de liaison pour chacune des lignes sorties.
-E spi@ipaddr algo:secret,... Ce paramètre permet d'indiquer qu'il faut utiliser un algorithme d'encodage secret SPI spécifié.
-f Ce paramètre permet d'indiquer qu'il faut afficher les adresses numérique IPv4 symboliquement.
-F file Ce paramètre permet d'indiquer qu'il faut utiliser l'entrée de fichier pour le filtre d'expression.
-i interface Ce paramètre permet d'écouter un interface spécifié.
-l Ce paramètre permet de fabriquer une ligne de tampon stdout.
-L Ce paramètre permet d'afficher la liste des types de données de liaison pour l'interface et termine immédiatement après.
-m module Ce paramètre permet d'effectuer le chargement de définition de module SMI MIB d'un fichier de module spécifié.
-M secret Ce paramètre permet de spécifier une clef secrète partagé pour valider pour trouver le TCP avec les options TCP-MD5 (RFC 2385), si présent.
-n Ce paramètre permet d'indiquer qu'il ne faut effectuer la conversion des adresses (adresse de l'hôte, numéro de port) en leurs noms équivalents.
-N Ce paramètre permet d'indiquer qu'il ne faut pas afficher le nom de domaine qualifié pour les noms de l'hôte.
-O Ce paramètre permet d'indiquer qu'il ne faut pas exécuter le code optimisé pour le paquet correspondant.
-p Ce paramètre permet d'indiquer qu'il ne faut pas mettre l'interface dans un mode de promiscuité (illégale).
-q Ce paramètre permet d'indiquer qu'il faut effectuer une sortie rapide et abrégé des informations.
-R Ce paramètre permet d'indiquer qu'il faut supposer que les paquets ESP/AH sont basées sur les anciennes spécifications du RFC1825 à RFC1829.
-r file Ce paramètre permet d'indiquer qu'il faut effectuer la lecture des paquets à partir du fichier spécifié.
-S Ce paramètre permet d'afficher les séquences de nombres TCP en absolue plutôt qu'en relatif.
-s snaplen Ce paramètre permet de spécifier le nombre d'octets de données pour chaque paquet. La valeur par défaut est 68.
-T type Ce paramètre permet de forcer les paquets sélectionner par une expression à être interprété par le type spécifié.
-t Ce paramètre permet de ne pas afficher le timestamp pour chaque ligne sortie.
-tt Ce paramètre permet d'afficher le timestamp non-formaté pour chaque ligne sortie.
-ttt Ce paramètre permet d'afficher l'écart de temps, en microsecondes, entre la ligne courante et la ligne précédente pour chaque ligne sortie.
-tttt Ce paramètre permet d'afficher le format de date par défaut du timestamp pour chaque ligne sortie.
-u Ce paramètre permet d'afficher les gestionnaires de décodage NFS.
-U Ce paramètre permet d'indiquer que chaque paquet doit être écrit dans un fichier.
-v Ce paramètre permet d'indiquer qu'il faut effectuer un affichage détaillé.
-vv Ce paramètre permet d'indiquer qu'il faut effectuer un affichage plus détaillé.
-vvv Ce paramètre permet d'indiquer qu'il faut effectuer un affichage pleinement détaillé.
-w file Ce paramètre permet d'indiquer qu'il faut écrire les paquets brutes vers le fichier plutôt que d'analyser et d'afficher ceux-ci.
-W filecount Ce paramètre permet de limiter le nombre de fichiers créer pour le nombre spécifié et recommence à écraser les fichiers au début afin de créer une rotation des tampons.
-x Ce paramètre permet d'indiquer que lorsqu'il analyse et afficher les paquets, il faut afficher chaque paquet en hexadécimal sans son niveau d'entête de liaison.
-xx Ce paramètre permet d'indiquer que lorsqu'il analyse et afficher les paquets, il faut afficher chaque paquet en hexadécimal avec son niveau d'entête de liaison.
-X Ce paramètre permet d'indiquer que lorsqu'il analyse et afficher les paquets, il faut afficher chaque paquet en hexadécimal et en ASCII sans son niveau d'entête de liaison.
-XX Ce paramètre permet d'indiquer que lorsqu'il analyse et afficher les paquets, il faut afficher chaque paquet en hexadécimal et en ASCII avec son niveau d'entête de liaison.
-y datalinktype Ce paramètre permet de fixer le type de données de liaison à utiliser pour la capture de paquets vers celui spécifié.
-Z Ce paramètre permet de supprimer les privilèges (si racine) et change l'identificateur utilisateur vers un identificateur de groupe et un identificateur d'utilisateur du groupe primaire de l'utilisateur.

Description

Cette commande permet d'afficher l'état du trafic réseau.

Exemple

L'exemple suivant permet de voir la circulation réseau sans tenir compte de la circulation de TightVNC :

sudo tcpdump -i eth1 | grep -v 5900

on obtiendra un résultat ressemblant à ceci :

[sudo] password for gladir:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
15:48:30.804123 IP gladir-Ubuntu.49920 > 192.168.0.1.domain: 29402+ PTR? 197.0.168.192.in-addr.arpa. (44)
15:48:30.812892 IP gladir-Ubuntu.52415 > 192.168.0.1.domain: 55447+ PTR? 1.0.168.192.in-addr.arpa. (42)
15:48:39.055060 ARP, Request who-has 192.168.0.200 (Broadcast) tell 192.168.0.1, length 46
15:48:39.055346 IP gladir-Ubuntu.59647 > 192.168.0.1.domain: 11498+ PTR? 200.0.168.192.in-addr.arpa. (44)
15:48:39.067080 IP 192.168.0.1.domain > gladir-Ubuntu.59647: 11498 NXDomain 0/0/0 (44)
15:48:39.167727 IP6 fe80::beae:c5ff:fe48:6e0c.mdns > ff02::fb.mdns: 0 PTR (QM)? 200.0.168.192.in-addr.arpa. (44)
15:48:39.167802 IP gladir-Ubuntu.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 200.0.168.192.in-addr.arpa. (44)
15:48:40.169291 IP6 fe80::beae:c5ff:fe48:6e0c.mdns > ff02::fb.mdns: 0 PTR (QM)? 200.0.168.192.in-addr.arpa. (44)
15:48:40.169370 IP gladir-Ubuntu.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 200.0.168.192.in-addr.arpa. (44)
15:48:44.070535 IP gladir-Ubuntu.56415 > 192.168.0.1.domain: 49328+ PTR? b.f.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.f.f.ip6.arpa. (90)
15:48:44.078045 IP 192.168.0.1.domain > gladir-Ubuntu.56415: 49328 NXDomain 0/1/0 (160)
15:48:44.078349 IP gladir-Ubuntu.51149 > 192.168.0.1.domain: 29116+ PTR? c.0.e.6.8.4.e.f.f.f.5.c.e.a.e.b.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa. (90)
15:48:44.137104 IP gladir-Ubuntu.34223 > 192.168.0.1.domain: 54082+ PTR? 251.0.0.224.in-addr.arpa. (42)
15:48:50.281741 ARP, Request who-has MalteAMD4.local (Broadcast) tell 192.168.0.1, length 46

Voir également

Système d'exploitation - Linux - Références de commandes et de programmes - stty
DNS - Création d'un DNS en réseau local pour un site Web

Dernière mise à jour : Samedi, le 30 avril 2016