Qu’est-ce que tcpdump?

Si vous avez un système d’exploitation Unix ou Unix (Linux, Mac OS), vous pouvez utiliser tcpdump pour examiner le trafic réseau. Le programme tcpdump est un utilitaire de ligne de commande qui peut être installé gratuitement. Il n’est pas couramment intégré dans les systèmes d’exploitation, vous devez donc l’installer à partir du registre tcpdump GitHub ou à partir du site Web officiel de tcpdump.

Éléments de tcpdump

L’utilitaire de capture de paquets utilisé par tcpdump est fourni par libpcab, qui est une bibliothèque de procédures C / C ++. Le programme tcpdump principal est l’interface pour le processus de capture de paquets. Une fois exécuté, il lancera le processus libcap pour capturer les paquets, puis afficher leur contenu à l’écran. À moins qu’une limite au nombre de paquets à capturer ne soit spécifiée au démarrage du programme, il continuera de fonctionner indéfiniment. Le traitement est alors terminé par un signal d’interruption (Control-C).

Le programme est exécuté sur la ligne de commande et comprend un certain nombre d’options, qui sont indiquées par des indicateurs. Ces indicateurs modifient le comportement du programme pour qu’il sélectionne les paquets correspondant à un modèle spécifié, limite son temps d’exécution ou qu’il lise les paquets stockés dans un fichier plutôt que dans l’interface réseau.

Format TCPpump

La commande tcpdump peut être lancée seule ou avec des options, des paramètres et / ou des expressions régulières. Aucun de ces éléments n’est obligatoire et la commande n’est pas importante.

tcpdump <-option_identifier>

Options de Tcpdump

La commande tcpdump est suivie d’options, également appelées drapeaux. Chacun d’eux est indiqué par un trait d’union suivi d’une lettre. Voici une liste de chacun de ces drapeaux.

-UNE        imprimer des paquets en ASCII sans les en-têtes de niveau lien

-b         montrer que le numéro AS est au format ASDOT

-B        buffer_size en unités de KiB (1024 octets

-c         compter – la limite de paquets à capturer

-C        taille du fichier – le processus créera un nouveau fichier une fois cette limite de taille de fichier remplie; La taille est de 1 million d’octets

-ré        Vider le code de correspondance de paquets compilé en ASCII

-dd      Vider le code de correspondance de paquets en tant que C fragment de programme

-ddd    Vider le code de correspondance de paquets sous forme de nombres décimaux précédés d’un décompte

-ré        Liste toutes les interfaces accessibles

-e         Imprimer l’en-tête de niveau lien sur chaque ligne de vidage

-E         spi @ ipaddr algo: secret – pour déchiffrer les paquets ESP IPsec:

             spi est l’indice des paramètres de sécurité

              ipaddr est l’adresse de destination sur le paquet

              algo est l’algorithme, par défaut des-cbc et le champ est facultatif.

              Les valeurs possibles sont:

• des-cbc
• 3des-cbc
• Blowfish-cbc
• rc3-cbc
• cast128-cbc

secret est le texte ASCII de la clé secrète ESP. S’il est précédé de 0x, il s’agit d’une valeur hexadécimale

-F          Imprimer des adresses IPv4 «étrangères» numériquement plutôt que symboliquement

-F         fichier – utilisation fichier comme entrée pour l’expression de filtre

-g        rotation_secondes – période pour faire tourner le fichier de sauvegarde de l’option -w, ajoutera un horodatage au nom

-h         Imprimez les chaînes de version tcpdump et libpcap, imprimez un message d’utilisation et quittez

-H        Détecter les en-têtes de maillage 802.11s

-je          interface – l’interface sur laquelle écouter, par défaut le nom le plus bas par ordre alphabétique

-je          mode moniteur | mode immédiat – supprime la mise en mémoire tampon

-j          tstamp_type – définissez le type d’horodatage pour la capture sur tstamp_type

-J         tstamp_precision – définir la précision d’horodatage (micro ou nano) par défaut est micro. Si tstamp_precision est null, liste les types d’horodatage et quitte

-K        Ne pas vérifier les sommes de contrôle

-l          Ligne stdout mise en mémoire tampon. Par exemple. tcpdump -l | tee dat ou                                                                                                   tcpdump -l > dat & queue -f dat

-L         Lister les types de liaisons de données connus pour l’interface, dans le mode spécifié, et quitter

-m       module – charger les définitions de module SMI MIB à partir d’un fichier module.

-M       secret – valeur secrète partagée pour la validation avec l’option TCP-MD5

-n        Ne convertissez pas les adresses (c’est-à-dire les adresses d’hôte, les numéros de port, etc.) en noms

-N        N’imprimez pas la qualification du nom de domaine des noms d’hôte

-#         Imprimer un numéro de paquet facultatif au début de la ligne

-O        N’exécutez pas l’optimiseur de code de correspondance de paquets

-p         Ne mettez pas l’interface en mode promiscuité

-Q        direction – envoyer / recevoir la direction. Peut être dans, en dehors, ou inout

-q         Imprimer moins d’informations sur le protocole

-r          fichier – lire les paquets de fichier. Spécifier – pour entrée standard

-S         Imprimer les numéros de séquence TCP absolus

-s         snaplen – snarf snaplen octets de chaque paquet, pas les 262144 octets par défaut

-T         type – interpréter les paquets comme spécifiés type. Les options sont:

• aodv                   Protocole ad hoc sur vecteur de distance à la demande
• carpe                    Protocole de redondance d’adresses commun
• cnfp                    Protocole Cisco NetFlow
• lmp                     Protocole de gestion des liens
• pgm                    Multidiffusion générale pragmatique
• pgm_zmtp1       ZMTP / 1.0 dans PGM / EPGM)
• resp                   Protocole de sérialisation REdis
• rayon                RAYON
• rpc                     Appel de procédure à distance
• rtp                      Protocole d’applications en temps réel
• rtcp                    Protocole de contrôle des applications en temps réel
• snmp                 Protocole de gestion de réseau simple
• tftp                     Protocole de transfert de fichiers trivial
• T.V.A                      Outil audio visuel
• wb                      tableau blanc distribué
• zmtp1                 ZeroMQ Message Transport Protocol 1.0
• vxlan                  Réseau local virtuel extensible

-t          N’imprimez pas d’horodatage sur chaque ligne de vidage

-tt        Imprimer l’horodatage comme décalage depuis le 1er janvier 1970 sur chaque ligne de vidage

-ttt       Imprimer un delta (résolution en micro-seconde) entre la ligne actuelle et la ligne précédente

-tttt      Imprimer un horodatage: date, heure, minute, seconde sur chaque ligne de vidage

-ttttt     Imprimer un delta (résolution micro-seconde) entre la ligne actuelle et la première ligne

-u         Imprimer les poignées NFS non décodées

-U        Paquet en mémoire tampon

-v         Sortie légèrement plus verbeuse

-vv       Sortie plus verbeuse

-vvv     Sortie la plus verbeuse

-V        fichier – lire une liste de noms de fichiers fichier. L’entrée standard est utilisée si fichier est –

-w        fichier – écrire la sortie dans fichier

-W       limite – le nombre maximum de fichiers à créer par le -C et -g les options

-X         Imprimer les données de chaque paquet moins son en-tête de niveau de liaison en hexadécimal

-xx       Imprimer les données de chaque paquet, comprenant son en-tête de niveau de lien, en hexadécimal

-X         Imprimer les données de chaque paquet moins son en-tête de niveau de liaison en hexadécimal et ASCII

-XX       Imprimer les données de chaque paquet, comprenant son en-tête de niveau de lien, en hexadécimal et ASCII.

-y         datalinktype – Définissez le type de liaison de données à utiliser lors de la capture des paquets sur                          datalinktype

-z         commande postrotate – traiter les fichiers de sauvegarde généralement avec compression -z gzip

-Z         utilisateur – changez l’ID utilisateur en utilisateur et l’ID de groupe au groupe principal de utilisateur

Paramètres Tcpdump

Les paramètres de tcpdump sont également appelés primitives. Ceux-ci spécifient si la capture de paquets doit uniquement obtenir des données provenant d’hôtes spécifiés. Ces paramètres peuvent également être exprimés sous forme de conditions à l’aide des opérateurs booléens et, ou, et ne pas.  Vous n’avez pas besoin de mettre un signe égal (=) entre le nom du paramètre et sa valeur et vous n’avez pas besoin d’espacer les paramètres avec la ponctuation. Dans chaque cas, vous avez juste besoin d’un espace.

Le plus communément utilisé de ces paramètres est l’hôte, qui vous permet de limiter la capture aux transmissions à partir d’une seule source. Dans chaque cas, un nom d’appareil en tant que valeur de paramètre peut être remplacé par son adresse. Lorsqu’un paramètre a un dst version, cette variation limite la sortie aux seuls paquets qui ont cet attribut pour sa destination. Paramètres qui incluent src rechercher les paquets qui ont la valeur donnée dans les données liées à leur origine.

Voici les options des paramètres:

hôte nom_hôte – aussi hôte dst ou hôte src.

Peut également être ajouté avec ip, arp, ou rarp

éther            ehost – valeur de / etc / ethers ou d’un nombre. Aussi éther src et éther dest.

passerelle       hôte – obtenir des paquets qui sont passés par la passerelle hôte

net                network_num – IP source ou de destination comprend numéro_réseau                                               Aussi dst net et src net

Port               numéro | nom – aussi port dst et port src.                                                                                   Peut être avec TCP ou udp limiter le protocole

ip proto          protocole – capturer les paquets IP du protocole nommé. Le nom doit être dans / etc / protocoles

éther proto    protocole – paquet de capture de type protocole éther. Options pour protocole sont un nombre ou:

• ip
• ip6
• arp
• rarp
• une conversation
• atalkarpe
• décnet
• decdts
• decdns
• lanbridge
• lat
• mopdl
• moprc
• chiot
• sca
• lutin
• stp
• vexp
• vprod
• xns

Diffuser     Capture les paquets de diffusion Ethernet. Également écrit comme diffusion d’éther

diffusion IP Capture les paquets de diffusion IP

multidiffusion       Capture les paquets de multidiffusion Ethernet. Également écrit en multidiffusion éther

multidiffusion IP   Capture les paquets de multidiffusion IP

hôte decnet   nom_hôte – si la source ou la destination DECNET est nom_hôte

decnet src     nom_hôte – capture si la source DECNET est nom_hôte

decnet dst     nom_hôte – capture si la destination DECNET est nom_hôte

hôte WLAN      ehost – si la première, la deuxième, la troisième ou la quatrième adresse IEEE 802.11 est                                             ehost

wlan addr1    ehost – capture si la première adresse IEEE 802.11 est ehost

wlan addr2    ehost – capture si la deuxième adresse IEEE 802.11 est ehost

wlan addr3    ehost – capture si la troisième adresse IEEE 802.11 est ehost

wlan addr4    ehost – si la quatrième adresse IEEE 802.11 est ehost. Uniquement utilisé pour WDS

type                type – capture si le type de trame IEEE 802.11 est type, qui est un nombre ou:

• Les données
• mgt
• ctl

sous-type           sous-type – capture si la trame IEEE 802.11 est sous-type, qui est un nombre ou:

• assocreq
• assocresp
• réassocier
• réassocier
• probereq
• proberesp
• balise
• atim
• disassoc
• auth
• deauth
• Les données

dir                    dir – capture si la direction de la trame IEEE 802.11 est dir, qui est un nombre ou:

• hoche la tête
• tods
• fromds
• dstods

Expression Tcpdump

Le segment des expressions d’une commande tcpdump vous donne la possibilité d’ajouter un peu de programmation à votre sélection de paquets. Contrairement à un programme ordinaire, cependant, cet ensemble d’instructions doit être écrit sur une seule ligne. Si vous êtes un utilisateur fréquent d’Unix ou de Linux, vous serez habitué aux expressions régulières du script shell et ne devriez avoir aucun problème à comprendre le format de ces filtres..  

Les paquets qui satisfont au test défini par l’expression seront capturés. Le résultat de chaque expression doit donc être «vrai».

Il existe quelques conditions d’expression qui ne sont généralement pas rencontrées dans les scripts shell et elles sont répertoriées ci-dessous:

len

Cela renvoie la longueur d’un paquet. Exemple d’utilisation: len! = 5.

proto [expr: taille]

Dans cet objet:

proto est le nom d’une couche de protocole. Ça peut être:

• éther
• fddi
• ip
• arp
• rarp
• TCP
• udp
• icmp

expr est le décalage d’octet. Cela doit être inclus, mais il peut être donné comme 0 afin de prendre la valeur depuis le début de l’objet.

Taille est facultatif et représente le nombre d’octets dans l’option. La valeur par défaut est 1, mais elle peut également être 2, 3 ou 4.

Exemples d’utilisation:

éther [0] & 1! = 0 est vrai pour tout le trafic de multidiffusion.

ip [0] & 0xf! = 5 est vrai pour tous les paquets IP avec des options.

ip [6: 2] & 0x1fff = 0 est vrai pour les datagrammes non fragmentés et frag zéro des datagrammes fragmentés.

Exemples de Tcpdump

Dans tous ces cas, les résultats de la commande s’afficheront à l’écran, à moins qu’une option liée au fichier ne soit incluse ou à moins que la commande ne soit lancée avec une redirection de sortie de stand ou un canal vers un fichier.

Afficher les paquets voyageant depuis ou vers l’ordinateur identifié comme lab1:

tcpdump host lab1

Affichez tous les paquets IP voyageant entre lab1 et tout noeud autre que la réception:

tcpdump ip host lab1 et pas la réception

Afficher tout le trafic ftp via styx de passerelle Internet:

tcpdump ‘passerelle styx et (port ftp ou ftp-data)’

Affichez les paquets SYN et FIN de chaque conversation TCP impliquant un hôte non local:

tcpdump ‘tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 et non src et dst net localnet »

Affichez les paquets de diffusion ou de multidiffusion IP qui n’ont pas été envoyés via la diffusion ou la multidiffusion Ethernet:

tcpdump ‘éther [0] & 1 = 0 et ip [16] >= 224 ’

Format de sortie Tcpdump

Le format d’enregistrement utilisé pour écrire des paquets dans des fichiers est devenu une norme qui a été adoptée par de nombreux renifleurs de paquets et analyseurs de trafic plus récents.

La norme n’est pas simple et est adaptée à chaque protocole. Cependant, les applications qui ont adopté le format expliquent également ces variations. Le format est appelé pcap, qui est le nom du processus de capture de paquets utilisé par tcpdump. Les fichiers de ce format ont généralement le .pcap extension.

Tcpdump pour Windows

Il existe une adaptation de tcpdump qui fonctionne sous Windows. C’est appelé WinDump et il repose sur WinPcap pour la capture de paquets de la même manière que tcpdump utilise la fonction pcap de libpcap. WinPcap appartient en fait à Riverbed Technology. Cette même société est le principal bailleur de fonds de Wireshark, qui est probablement le renifleur de paquets le plus célèbre et le plus utilisé au monde. Il existe une version sans fil de WinPcap, appelée AirPcap. Vous pouvez télécharger gratuitement WinDump, WinPcap et AirPcap sur le site Web de WinPcap.

Utilisation de renifleurs de paquets

L’utilitaire de ligne de commande tcpdump est utile pour ceux qui connaissent le Unix et Linux systèmes d’exploitation et profitez de l’écriture de scripts shell. Ceux qui ne sont pas si expérimentés à assembler des commandes avec des expressions régulières sur la ligne de commande auront du mal à utiliser ce programme.

Vous avez d’autres options car il existe de nombreux renifleurs de paquets, tels que Wireshark, qui a été mentionné ci-dessus. Vous pouvez en savoir plus sur les alternatives à tcpdump dans cette revue des renifleurs de paquets.

Avez-vous un renifleur de paquets préféré? Êtes-vous un fan de tcpdump, ou préférez-vous des alternatives plus conviviales? Laissez un message dans le commentaires section ci-dessous et partagez vos expériences.

Image: capture de paquets tcpdump par Linux Captures d’écran via Flickr. Sous licence CC BY 2.0