« Tcpdump » : différence entre les versions
De Wiki doc
(Légère réorganisation + ajout de la section "Privilège de capture".) |
Aucun résumé des modifications |
||
| Ligne 13 : | Ligne 13 : | ||
* '''src @IP''' : n'affiche que les paquet en provenance de cette ''IP'' | * '''src @IP''' : n'affiche que les paquet en provenance de cette ''IP'' | ||
* '''tcp''' : n'affiche que les paquets ''TCP'' | * '''tcp''' : n'affiche que les paquets ''TCP'' | ||
Le mot clé de certains protocoles n'est pas forcement évident. Afin de filtrer l{{'}}''ARP'' et le ''Spanning Tree'', le filtre [https://stackoverflow.com/a/68834223 suivant] peut être utilisé : | |||
not arp and not llc | |||
==Enregistrer la capture dans un fichier== | ==Enregistrer la capture dans un fichier== | ||
| Ligne 27 : | Ligne 30 : | ||
Par défaut, un utilisateur standard ne peut capturer le trafic d'une interface réseau. Pour y remédier, il convient de suivre les étapes suivantes : | Par défaut, un utilisateur standard ne peut capturer le trafic d'une interface réseau. Pour y remédier, il convient de suivre les étapes suivantes : | ||
Création d'un groupe < | Création d'un groupe <syntaxhighlight lang="bash" inline>pcap</syntaxhighlight> et enrôlement de notre utilisateur dedans | ||
groupadd pcap | groupadd pcap | ||
usermod -a -G pcap VOTRE_UTILISATEUR | usermod -a -G pcap VOTRE_UTILISATEUR | ||
Changement du propriétaire du binaire < | Changement du propriétaire du binaire <syntaxhighlight lang="bash" inline>tcpdump</syntaxhighlight> au nouveau groupe | ||
chgrp pcap /usr/sbin/tcpdump | chgrp pcap /usr/sbin/tcpdump | ||
chmod 750 /usr/sbin/tcpdump | chmod 750 /usr/sbin/tcpdump | ||
Dernière version du 17 août 2022 à 16:20
Capturer du trafic
Exemple d'utilisation
tcpdump -n -vv -X -i any port not 22 and src 192.168.1.45 and tcp
Paramètres :
- -n : ne pas résoudre les nom DNS
- -vv : décode l'ensemble du protocole
- -X : affiche le résultat comme un éditeur hexadécimal
- -i any : écouter sur toute les interfaces
- port not 22 : exclure les paquets venants du port 22 de la capture
- and : concaténation de règles. Le paramètre or peut également être utilisé
- src @IP : n'affiche que les paquet en provenance de cette IP
- tcp : n'affiche que les paquets TCP
Le mot clé de certains protocoles n'est pas forcement évident. Afin de filtrer l'ARP et le Spanning Tree, le filtre suivant peut être utilisé :
not arp and not llc
Enregistrer la capture dans un fichier
tcpdump -n -i any src 192.168.1.45 -w /tmp/capture.pcap
Paramètre :
- -w : Enregistre le résultat de la capture dans un fichier.
Le fichier peut ensuite être lut par Wireshark.
INFORMATION
La capture peut être limité en nombre de paquets avec l'option -c ou en taille avec -C (unité en Mo).Privilège de capture
Par défaut, un utilisateur standard ne peut capturer le trafic d'une interface réseau. Pour y remédier, il convient de suivre les étapes suivantes :
Création d'un groupe pcap et enrôlement de notre utilisateur dedans
groupadd pcap usermod -a -G pcap VOTRE_UTILISATEUR
Changement du propriétaire du binaire tcpdump au nouveau groupe
chgrp pcap /usr/sbin/tcpdump chmod 750 /usr/sbin/tcpdump dpkg-statoverride --add root pcap 750 /usr/sbin/pcap
Attribution des capacités noyau adéquates au binaire
setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
