« Tcpdump » : différence entre les versions
De Wiki doc
Aucun résumé des modifications |
(Légère réorganisation + ajout de la section "Privilège de capture".) |
||
| Ligne 1 : | Ligne 1 : | ||
[[Category:Analyseur de trames]] | [[Category:Analyseur de trames]] | ||
=Capturer du trafic= | |||
==Exemple d'utilisation== | |||
tcpdump -n -vv -X -i any port not 22 and src 192.168.1.45 and tcp | tcpdump -n -vv -X -i any port not 22 and src 192.168.1.45 and tcp | ||
'''Enregistrer la capture dans un fichier | Paramètres : | ||
* '''-n''' : ne pas résoudre les nom ''DNS'' | |||
* '''-vv''' : décode l'ensemble du protocole | |||
* '''-X''' : affiche le résultat comme un éditeur hexadécimal | |||
* '''-i any''' : écouter sur toute les interfaces | |||
* '''port not 22''' : exclure les paquets venants du port 22 de la capture | |||
* '''and''' : concaténation de règles. Le paramètre '''or''' peut également être utilisé | |||
* '''src @IP''' : n'affiche que les paquet en provenance de cette ''IP'' | |||
* '''tcp''' : n'affiche que les paquets ''TCP'' | |||
==Enregistrer la capture dans un fichier== | |||
tcpdump -n -i any src 192.168.1.45 -w /tmp/capture.pcap | tcpdump -n -i any src 192.168.1.45 -w /tmp/capture.pcap | ||
Paramètre: | |||
* '''-w''': Enregistre le résultat de la capture dans un fichier. | Paramètre : | ||
* '''-w''' : Enregistre le résultat de la capture dans un fichier. | |||
''Le fichier peut ensuite être lut par [[Wireshark]].'' | ''Le fichier peut ensuite être lut par [[Wireshark]].'' | ||
{{info|La capture peut être limité en nombre de paquets avec l'option '''-c''' ou en taille avec '''-C''' (unité en Mo).}} | {{info|La capture peut être limité en nombre de paquets avec l'option '''-c''' ou en taille avec '''-C''' (unité en Mo).}} | ||
'' | ==Privilège de capture== | ||
Par défaut, un utilisateur standard ne peut capturer le trafic d'une interface réseau. Pour y remédier, il convient de suivre les étapes suivantes : | |||
Création d'un groupe <source lang="bash" inline>pcap</source> et enrôlement de notre utilisateur dedans | |||
groupadd pcap | |||
usermod -a -G pcap VOTRE_UTILISATEUR | |||
Changement du propriétaire du binaire <source lang="bash" inline>tcpdump</source> au nouveau groupe | |||
chgrp pcap /usr/sbin/tcpdump | |||
chmod 750 /usr/sbin/tcpdump | |||
dpkg-statoverride --add root pcap 750 /usr/sbin/pcap | |||
Attribution des capacités noyau adéquates au binaire | |||
setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump | |||
===Source de la section=== | |||
* https://www.linuxtutorial.co.uk/tcpdump-eth0-you-dont-have-permission-to-capture-on-that-device/ | |||
=Source= | |||
* https://www.tcpdump.org/tcpdump_man.html | * https://www.tcpdump.org/tcpdump_man.html | ||
Version du 5 avril 2021 à 16:24
Capturer du trafic
Exemple d'utilisation
tcpdump -n -vv -X -i any port not 22 and src 192.168.1.45 and tcp
Paramètres :
- -n : ne pas résoudre les nom DNS
- -vv : décode l'ensemble du protocole
- -X : affiche le résultat comme un éditeur hexadécimal
- -i any : écouter sur toute les interfaces
- port not 22 : exclure les paquets venants du port 22 de la capture
- and : concaténation de règles. Le paramètre or peut également être utilisé
- src @IP : n'affiche que les paquet en provenance de cette IP
- tcp : n'affiche que les paquets TCP
Enregistrer la capture dans un fichier
tcpdump -n -i any src 192.168.1.45 -w /tmp/capture.pcap
Paramètre :
- -w : Enregistre le résultat de la capture dans un fichier.
Le fichier peut ensuite être lut par Wireshark.
INFORMATION
La capture peut être limité en nombre de paquets avec l'option -c ou en taille avec -C (unité en Mo).Privilège de capture
Par défaut, un utilisateur standard ne peut capturer le trafic d'une interface réseau. Pour y remédier, il convient de suivre les étapes suivantes :
Création d'un groupe pcap et enrôlement de notre utilisateur dedans
groupadd pcap usermod -a -G pcap VOTRE_UTILISATEUR
Changement du propriétaire du binaire tcpdump au nouveau groupe
chgrp pcap /usr/sbin/tcpdump chmod 750 /usr/sbin/tcpdump dpkg-statoverride --add root pcap 750 /usr/sbin/pcap
Attribution des capacités noyau adéquates au binaire
setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
