TCPdump udp sur ip specifique [Résolu]

Messages postés
35
Date d'inscription
jeudi 11 juin 2015
Statut
Membre
Dernière intervention
11 septembre 2019
- - Dernière réponse : mamiemando
Messages postés
28982
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
12 septembre 2019
- 10 sept. 2019 à 09:05
Bonjour,

J'ai beau chercher sur le google, je ne trouve pas..
-quelle est la commande tcpdump qui permet de capturer tout les flux udp, sur n'importe quel port, entre ma machine locale, et un adresse ip spécifique? (sans faire de | grep --line-buffered ip_spe)

merci.

Configuration: Windows / Chrome 75.0.3770.142
Afficher la suite 

3 réponses

Messages postés
28982
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
12 septembre 2019
6639
0
Merci
Bonjour,

Lis ce tutoriel section "Filtrage" et "Cumulation des filtres".

Bonne chance
Commenter la réponse de mamiemando
Messages postés
85
Date d'inscription
dimanche 26 mai 2019
Statut
Membre
Dernière intervention
7 septembre 2019
5
0
Merci
Essai:
man tcpdump

Il y a pas meilleur outil que MAN

B.A.T.
Commenter la réponse de gigi_dsss
Messages postés
85
Date d'inscription
dimanche 26 mai 2019
Statut
Membre
Dernière intervention
7 septembre 2019
5
0
Merci
Bonsoir, est-ce que t'as trouvé ce dont tu avais besoin ?
gigi_dsss
Messages postés
85
Date d'inscription
dimanche 26 mai 2019
Statut
Membre
Dernière intervention
7 septembre 2019
5 -
Cependant regarde ici:
EXAMPLES

To print all packets arriving at or departing from sundown:

tcpdump host sundown

To print traffic between helios and either hot or ace:

tcpdump host helios and \( hot or ace \)

To print all IP packets between ace and any host except helios:

tcpdump ip host ace and not helios

To print all traffic between local hosts and hosts at Berkeley:

tcpdump net ucb-ether

To print all ftp traffic through internet gateway snup: (note that the expression is quoted to prevent the shell from (mis-)interpreting the parentheses):

tcpdump 'gateway snup and (port ftp or ftp-data)'

To print traffic neither sourced from nor destined for local hosts (if you gateway to one other net, this stuff should never make it onto your local net).

tcpdump ip and not net localnet

To print the start and end packets (the SYN and FIN packets) of each TCP conversation that involves a non-local host.

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

To print all IPv4 HTTP packets to and from port 80, i.e. print only packets that contain data, not, for example, SYN and FIN packets and ACK-only packets. (IPv6 is left as an exercise for the reader.)

tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

To print IP packets longer than 576 bytes sent through gateway snup:

tcpdump 'gateway snup and ip[2:2] > 576'

To print IP broadcast or multicast packets that were not sent via Ethernet broadcast or multicast:

tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

To print all ICMP packets that are not echo requests/replies (i.e., not ping packets):

tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

letest
Messages postés
35
Date d'inscription
jeudi 11 juin 2015
Statut
Membre
Dernière intervention
11 septembre 2019
-
Effectivement je connais bien tout ça.mais ce que je voudrais c'est la commande tcpdump udp all port ipdest.
Sauf que je n'en connais pas la syntaxe et bizzarement je ne l'a trouve nulle part sur le web. Il n'y a que le tcpdump udp de port de dispo mais pas le tcpdump udp d'ip
gigi_dsss
Messages postés
85
Date d'inscription
dimanche 26 mai 2019
Statut
Membre
Dernière intervention
7 septembre 2019
5 -
Je connais un genre de wireshark en console, qui fait ce que tu demande, ça t’intéresse ?
letest
Messages postés
35
Date d'inscription
jeudi 11 juin 2015
Statut
Membre
Dernière intervention
11 septembre 2019
-
Jai déjà des tools, genre nethogs et d'autres, dis moi oui ça peut potentiellement m'interresser. Néanmoins en tcpdump j'aimerais vraiment savoir le faire car installer des packagés, niveau secu ça craind..
mamiemando
Messages postés
28982
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
12 septembre 2019
6639 -
Néanmoins en tcpdump j'aimerais vraiment savoir le faire

As-tu lu le lien que je t'ai donné la réponse est quasiment en toutes lettres.

Voici des exemples:

Permet d'afficher tous les paquets ftp à destination ou de sources de l'IP 192.168.1.55
tcpdump host 192.168.1.55 and port ftp



Affiche tous les paquets en provenance de 192.168.1.144 vers 192.168.20.32 sur le port 21 en tcp.
tcpdump src host 192.168.1.144 and dst host 192.168.20.32 and port 21 and tcp


Affiche tous les paquets en provenance de 192.168.1.144 vers 192.168.20.32 sur le port 21 en tcp.
tcpdump -x -X -s 0 src host 192.168.1.144 and dst host 192.168.20.32 and port 21 and tcp


Il faut juste remplacer
tcp
par
udp
.

... car installer des packages, niveau sécurité ça craint...

D'où tu sors ça ? Admettons que tu sois sous debian ou assimilé. Tu récupères tes paquets en https (donc depuis des sources certifiées) et en plus ces paquets sont signés.

Et sinon l'outil dont parle gigi_dsss est sûrement
tshark
.

Bonne chance
Commenter la réponse de gigi_dsss