Dans un BTS CIEL ou SIO, tu dois rapidement apprendre \u00e0 diagnostiquer un probl\u00e8me r\u00e9seau, v\u00e9rifier un flux applicatif ou analyser des communications suspectes. Cet utilitaire fonctionne directement en ligne de commande. Il capture les paquets r\u00e9seau qui transitent sur une interface et permet ensuite d\u2019analyser pr\u00e9cis\u00e9ment les \u00e9changes entre machines, protocoles et applications.<\/p>\n\n\n\n Tu peux utiliser Dans cette fiche, tu vas apprendre :<\/p>\n\n\n\n Sous Debian 13 et Ubuntu 26.04 :<\/p>\n\n\n\n Tu peux v\u00e9rifier l\u2019installation avec :<\/p>\n\n\n\n Syntaxe g\u00e9n\u00e9rale :<\/p>\n\n\n\n La capture r\u00e9seau n\u00e9cessite l\u2019acc\u00e8s bas niveau aux interfaces r\u00e9seau. Sans privil\u00e8ges \u00e9lev\u00e9s, Linux refuse g\u00e9n\u00e9ralement l\u2019op\u00e9ration.<\/p>\n\n\n\n Avant de capturer du trafic, tu dois conna\u00eetre le nom de l\u2019interface r\u00e9seau.<\/p>\n\n\n\n Commande recommand\u00e9e :<\/p>\n\n\n\n Exemple :<\/p>\n\n\n\n Ici :<\/p>\n\n\n\n Tu peux aussi demander directement \u00e0 tcpdump :<\/p>\n\n\n\n Sans cette option, tcpdump tente de r\u00e9soudre les noms DNS. Cela ralentit l\u2019analyse et ajoute du bruit.<\/p>\n\n\n\n Commande :<\/p>\n\n\n\n Teste ensuite :<\/p>\n\n\n\n Tu verras :<\/p>\n\n\n\n Le protocole HTTP utilise le port 80.<\/p>\n\n\n\n Tu peux ensuite ouvrir un site HTTP.<\/p>\n\n\n\n Diagnostic d\u2019un serveur web Apache ou Nginx.<\/p>\n\n\n\n HTTPS utilise le port 443.<\/p>\n\n\n\n Le contenu reste chiffr\u00e9. Tu vois :<\/p>\n\n\n\n Le DNS utilise principalement le port 53.<\/p>\n\n\n\n Teste ensuite :<\/p>\n\n\n\n SSH utilise le port 22.<\/p>\n\n\n\n MQTT utilise souvent :<\/p>\n\n\n\n D\u00e9tection :<\/p>\n\n\n\n \u00c9viter les paquets de contr\u00f4le TCP sans payload.<\/p>\n\n\n\n Tu peux parfois voir :<\/p>\n\n\n\n Tr\u00e8s utile en forensic ou cybers\u00e9curit\u00e9.<\/p>\n\n\n\n ou :<\/p>\n\n\n\ntcpdump<\/code> fait partie des outils incontournables pour ce travail.<\/p>\n\n\n\ntcpdump<\/code> pour :<\/p>\n\n\n\n\n
\n
tcpdump<\/code> ;<\/li>\n\n\n\n2. Sommaire<\/h2>\n\n\n\n
\n
3. Installation de tcpdump<\/h2>\n\n\n\n
sudo apt update
sudo apt install tcpdump<\/code><\/pre>\n\n\n\nExplication des commandes<\/h3>\n\n\n\n
\n
apt update<\/code> met \u00e0 jour la liste des paquets disponibles.<\/li>\n\n\n\napt install tcpdump<\/code> installe l\u2019outil.<\/li>\n<\/ul>\n\n\n\ntcpdump --version<\/code><\/pre>\n\n\n\n4. Fonctionnement g\u00e9n\u00e9ral<\/h2>\n\n\n\n
tcpdump<\/code> \u00e9coute une interface r\u00e9seau et affiche les paquets captur\u00e9s.<\/p>\n\n\n\nsudo tcpdump [options] [filtres]<\/code><\/pre>\n\n\n\nPourquoi utiliser sudo ?<\/h3>\n\n\n\n
5. Identifier les interfaces r\u00e9seau<\/h2>\n\n\n\n
ip a<\/code><\/pre>\n\n\n\n2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP>
3: lo: <LOOPBACK,UP,LOWER_UP><\/code><\/pre>\n\n\n\n\n
ens18<\/code> correspond \u00e0 la carte r\u00e9seau principale ;<\/li>\n\n\n\nlo<\/code> repr\u00e9sente l\u2019interface locale (localhost).<\/li>\n<\/ul>\n\n\n\ntcpdump -D<\/code><\/pre>\n\n\n\nExplication des options<\/h3>\n\n\n\n
\n
-D<\/code> : liste les interfaces disponibles.<\/li>\n<\/ul>\n\n\n\n6. Capturer du trafic simple<\/h2>\n\n\n\n
Capturer tout le trafic<\/h3>\n\n\n\n
sudo tcpdump -i ens18<\/code><\/pre>\n\n\n\nExplication<\/h3>\n\n\n\n
\n
-i ens18<\/code> : \u00e9coute l\u2019interface ens18<\/code>.<\/li>\n<\/ul>\n\n\n\nCapturer uniquement 10 paquets<\/h3>\n\n\n\n
sudo tcpdump -i ens18 -c 10<\/code><\/pre>\n\n\n\nExplication<\/h3>\n\n\n\n
\n
-c 10<\/code> : arr\u00eate la capture apr\u00e8s 10 paquets.<\/li>\n<\/ul>\n\n\n\nAfficher les adresses IP sans r\u00e9solution DNS<\/h3>\n\n\n\n
sudo tcpdump -i ens18 -n<\/code><\/pre>\n\n\n\nPourquoi utiliser
-n<\/code> ?<\/h3>\n\n\n\nAfficher aussi les ports<\/h3>\n\n\n\n
sudo tcpdump -i ens18 -nn<\/code><\/pre>\n\n\n\nDiff\u00e9rence entre
-n<\/code> et -nn<\/code><\/h3>\n\n\n\n\n
-n<\/code> : d\u00e9sactive la r\u00e9solution DNS.<\/li>\n\n\n\n-nn<\/code> : d\u00e9sactive aussi la r\u00e9solution des services r\u00e9seau.<\/li>\n<\/ul>\n\n\n\n7. Analyse des principaux protocoles<\/h2>\n\n\n\n
7.1 Analyse ICMP (ping)<\/h2>\n\n\n\n
sudo tcpdump -i ens18 icmp<\/code><\/pre>\n\n\n\nping 8.8.8.8<\/code><\/pre>\n\n\n\nICMP echo request
ICMP echo reply<\/code><\/pre>\n\n\n\nUtilit\u00e9<\/h3>\n\n\n\n
\n
\n\n\n\n7.2 Analyse HTTP<\/h2>\n\n\n\n
sudo tcpdump -i ens18 port 80<\/code><\/pre>\n\n\n\nCas concret<\/h3>\n\n\n\n
\n\n\n\n7.3 Analyse HTTPS<\/h2>\n\n\n\n
sudo tcpdump -i ens18 port 443<\/code><\/pre>\n\n\n\nImportant<\/h3>\n\n\n\n
\n
\n\n\n\n7.4 Analyse DNS<\/h2>\n\n\n\n
sudo tcpdump -i ens18 port 53<\/code><\/pre>\n\n\n\nnslookup debian.org<\/code><\/pre>\n\n\n\nCe que tu peux observer<\/h3>\n\n\n\n
\n
\n\n\n\n7.5 Analyse SSH<\/h2>\n\n\n\n
sudo tcpdump -i ens18 port 22<\/code><\/pre>\n\n\n\nUtilit\u00e9<\/h3>\n\n\n\n
\n
\n\n\n\n7.6 Analyse MQTT<\/h2>\n\n\n\n
\n
sudo tcpdump -i ens18 port 1883<\/code><\/pre>\n\n\n\n8. Filtres simples<\/h2>\n\n\n\n
8.1 Filtrer une IP source<\/h2>\n\n\n\n
sudo tcpdump -i ens18 src host 192.168.1.10<\/code><\/pre>\n\n\n\n8.2 Filtrer une IP destination<\/h2>\n\n\n\n
sudo tcpdump -i ens18 dst host 192.168.1.20<\/code><\/pre>\n\n\n\n8.3 Filtrer un r\u00e9seau<\/h2>\n\n\n\n
sudo tcpdump -i ens18 net 192.168.1.0\/24<\/code><\/pre>\n\n\n\n8.4 Filtrer un protocole TCP<\/h2>\n\n\n\n
sudo tcpdump -i ens18 tcp<\/code><\/pre>\n\n\n\n8.5 Filtrer UDP<\/h2>\n\n\n\n
sudo tcpdump -i ens18 udp<\/code><\/pre>\n\n\n\n8.6 Filtrer plusieurs ports<\/h2>\n\n\n\n
sudo tcpdump -i ens18 port 80 or port 443<\/code><\/pre>\n\n\n\n8.7 Exclure un trafic<\/h2>\n\n\n\n
sudo tcpdump -i ens18 not port 22<\/code><\/pre>\n\n\n\n9. Filtres avanc\u00e9s<\/h2>\n\n\n\n
9.1 Combiner plusieurs conditions<\/h2>\n\n\n\n
sudo tcpdump -i ens18 host 192.168.1.10 and port 443<\/code><\/pre>\n\n\n\nCe filtre signifie<\/h3>\n\n\n\n
\n
192.168.1.10<\/code><\/li>\n\n\n\n
\n\n\n\n9.2 Capturer uniquement les SYN TCP<\/h2>\n\n\n\n
sudo tcpdump -i ens18 'tcp[tcpflags] & tcp-syn != 0'<\/code><\/pre>\n\n\n\nUtilit\u00e9<\/h3>\n\n\n\n
\n
\n\n\n\n9.3 Capturer les paquets avec donn\u00e9es<\/h2>\n\n\n\n
sudo tcpdump -i ens18 'tcp[((tcp[12] & 0xf0) >> 2):4] != 0'<\/code><\/pre>\n\n\n\nUtilit\u00e9<\/h3>\n\n\n\n
\n\n\n\n9.4 Filtrer un \u00e9change entre deux machines<\/h2>\n\n\n\n
sudo tcpdump -i ens18 host 192.168.1.10 and host 192.168.1.20<\/code><\/pre>\n\n\n\n
\n\n\n\n9.5 Capturer un trafic HTTP pr\u00e9cis<\/h2>\n\n\n\n
sudo tcpdump -i ens18 -A port 80<\/code><\/pre>\n\n\n\nExplication<\/h3>\n\n\n\n
\n
-A<\/code> affiche le contenu ASCII.<\/li>\n<\/ul>\n\n\n\n\n
\n\n\n\n9.6 Voir le contenu HEXA et ASCII<\/h2>\n\n\n\n
sudo tcpdump -i ens18 -X port 80<\/code><\/pre>\n\n\n\nExplication<\/h3>\n\n\n\n
\n
-X<\/code> affiche :\n\n
10. Sauvegarder et relire une capture<\/h2>\n\n\n\n
10.1 Sauvegarder une capture<\/h2>\n\n\n\n
sudo tcpdump -i ens18 -w capture.pcap<\/code><\/pre>\n\n\n\nExplication<\/h3>\n\n\n\n
\n
-w<\/code> \u00e9crit dans un fichier PCAP.<\/li>\n<\/ul>\n\n\n\n
\n\n\n\n10.2 Lire une capture<\/h2>\n\n\n\n
tcpdump -r capture.pcap<\/code><\/pre>\n\n\n\nExplication<\/h3>\n\n\n\n
\n
-r<\/code> relit un fichier.<\/li>\n<\/ul>\n\n\n\n
\n\n\n\n10.3 Ouvrir avec Wireshark<\/h2>\n\n\n\n
wireshark capture.pcap<\/code><\/pre>\n\n\n\n11. Pare-feu et ports utiles<\/h2>\n\n\n\n
Service<\/th> Port<\/th> Protocole<\/th><\/tr><\/thead> HTTP<\/td> 80<\/td> TCP<\/td><\/tr> HTTPS<\/td> 443<\/td> TCP<\/td><\/tr> DNS<\/td> 53<\/td> UDP\/TCP<\/td><\/tr> SSH<\/td> 22<\/td> TCP<\/td><\/tr> MQTT<\/td> 1883<\/td> TCP<\/td><\/tr> MQTT TLS<\/td> 8883<\/td> TCP<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Exemple UFW pour SSH<\/h3>\n\n\n\n
sudo ufw allow 22\/tcp<\/code><\/pre>\n\n\n\nExemple pour MQTT<\/h3>\n\n\n\n
sudo ufw allow 1883\/tcp<\/code><\/pre>\n\n\n\nV\u00e9rifier les r\u00e8gles<\/h3>\n\n\n\n
sudo ufw status verbose<\/code><\/pre>\n\n\n\n12. Fichiers importants<\/h2>\n\n\n\n
\/etc\/ufw\/
\/var\/log\/ufw.log
\/etc\/services
\/usr\/sbin\/tcpdump<\/code><\/pre>\n\n\n\nArborescence utile<\/h3>\n\n\n\n
\/etc\/
\u251c\u2500\u2500 ufw\/
\u2502 \u251c\u2500\u2500 before.rules
\u2502 \u251c\u2500\u2500 after.rules
\u2502 \u2514\u2500\u2500 user.rules<\/code><\/pre>\n\n\n\n13. Synth\u00e8se Markdown pour ta fiche bristol<\/h2>\n\n\n\n
# TCPDUMP
## Installation
sudo apt install tcpdump
## Interfaces
ip a
tcpdump -D
## Capture simple
sudo tcpdump -i ens18
## Sans r\u00e9solution DNS
sudo tcpdump -i ens18 -nn
## Limiter le nombre de paquets
sudo tcpdump -i ens18 -c 20
## Filtrer un port
sudo tcpdump -i ens18 port 80
## Filtrer SSH
sudo tcpdump -i ens18 port 22
## Filtrer DNS
sudo tcpdump -i ens18 port 53
## Filtrer une IP
sudo tcpdump -i ens18 host 192.168.1.10
## Filtre complexe
sudo tcpdump -i ens18 host 192.168.1.10 and port 443
## Sauvegarde
sudo tcpdump -i ens18 -w capture.pcap
## Lecture capture
tcpdump -r capture.pcap
## Affichage ASCII
sudo tcpdump -A port 80
## Affichage HEXA
sudo tcpdump -X port 80<\/code><\/pre>\n\n\n\n14. Bloc de configuration complet<\/h2>\n\n\n\n
# Liste des interfaces r\u00e9seau
tcpdump -D
# Capture compl\u00e8te sur l'interface principale
sudo tcpdump -i ens18 -nn
# Capture limit\u00e9e \u00e0 50 paquets
sudo tcpdump -i ens18 -nn -c 50
# Capture HTTP et HTTPS
sudo tcpdump -i ens18 '(port 80 or port 443)'
# Capture DNS
sudo tcpdump -i ens18 udp port 53
# Capture SSH
sudo tcpdump -i ens18 tcp port 22
# Capture MQTT
sudo tcpdump -i ens18 tcp port 1883
# Capture d'un h\u00f4te sp\u00e9cifique
sudo tcpdump -i ens18 host 192.168.1.10
# Capture r\u00e9seau local
sudo tcpdump -i ens18 net 192.168.1.0\/24
# Capture avec affichage ASCII
sudo tcpdump -i ens18 -A port 80
# Capture avec affichage HEXA
sudo tcpdump -i ens18 -X port 80
# Sauvegarde dans un fichier PCAP
sudo tcpdump -i ens18 -w analyse.pcap
# Lecture d'une capture
tcpdump -r analyse.pcap<\/code><\/pre>\n\n\n\n15. Commandes de d\u00e9pannage<\/h2>\n\n\n\n
V\u00e9rifier les interfaces r\u00e9seau<\/h3>\n\n\n\n
ip a<\/code><\/pre>\n\n\n\nV\u00e9rifier les connexions actives<\/h3>\n\n\n\n
ss -tulpn<\/code><\/pre>\n\n\n\nExplication<\/h3>\n\n\n\n
\n
-t<\/code> : TCP<\/li>\n\n\n\n-u<\/code> : UDP<\/li>\n\n\n\n-l<\/code> : sockets en \u00e9coute<\/li>\n\n\n\n-p<\/code> : processus associ\u00e9s<\/li>\n\n\n\n-n<\/code> : affichage num\u00e9rique<\/li>\n<\/ul>\n\n\n\nV\u00e9rifier les r\u00e8gles pare-feu<\/h3>\n\n\n\n
sudo ufw status numbered<\/code><\/pre>\n\n\n\nV\u00e9rifier les routes r\u00e9seau<\/h3>\n\n\n\n
ip route<\/code><\/pre>\n\n\n\nTester DNS<\/h3>\n\n\n\n
dig debian.org<\/code><\/pre>\n\n\n\nV\u00e9rifier une connexion TCP<\/h3>\n\n\n\n
nc -vz 192.168.1.20 443<\/code><\/pre>\n\n\n\n16. Logs et analyse<\/h2>\n\n\n\n
tcpdump<\/code> ne produit pas de logs permanents par d\u00e9faut. Tu dois sauvegarder les captures.<\/p>\n\n\n\nG\u00e9n\u00e9rer une capture exploitable<\/h3>\n\n\n\n
sudo tcpdump -i ens18 -w incident.pcap<\/code><\/pre>\n\n\n\nLire ensuite avec :<\/h3>\n\n\n\n
tcpdump -r incident.pcap<\/code><\/pre>\n\n\n\nwireshark incident.pcap<\/code><\/pre>\n\n\n\nCe que tu peux analyser<\/h3>\n\n\n\n
\n