18 septembre 2008
tcpdump : filtrer les packets par port
Partons du principe que nous sommes sous Linux et que le programme tcpdump a été correctement installé. Vous pouvez utiliser l'outil tcpdump et lui demander de vous afficher les paquets qu'il reçoit ou qu'il envoie sur un port bien précis.
Exemples :
- Trappes snmp : tcpdump dst port 162
- Flux http : tcpdump src port 80
A vous ensuite de préciser si votre machine reçoit un paquet => src ou envoie un paquet => dst
Dans le sens contraire, c'est possible de supprimer tous les paquets liés à un port donné.
Exemples :
- suppression des paquets liés à la connexion ssh : tcpdump not port 22
- suppression des paquets liés aux mails envoyés via smtp : tcpdump not port 25
Pour analyser plus finement, vous pouvez enregistrer toute la sortie de tcpdump et la traiter dans un logiciel approprié comme wireshark:
tcpdump -w capturePaquets.dump
Pour en savoir plus :
http://www.tcpdump.org/tcpdump_man.html
http://www.linux.org/lessons/advanced/x442.html
http://okki666.free.fr/docmaster/articles/linux084.htm
http://blog.nicolargo.com/2007/02/tutorial-tcpdump.html
De retour
C'est drôle de voir comme des années après, je tombe encore par hasard sur ton blog.

Gros bisous poulette