Differences

This shows you the differences between two versions of the page.

--- informatique:logiciels:tcpdump [2020/10/07 14:36] – [Paramètres] pteu
+++ informatique:logiciels:tcpdump [2025/09/19 15:18] (current) – [Filtrer les paquets TCP SYN] et SYN+ACK pteu
@@ Line 259: / Line 259: @@
 | ce qu'on recherche |  x  |  x  |  x  |  0  |  x  |  x  |  1  |  x  |
-On ne fait attention qu'au flags ACK et SYN : on veut que le premier soit à 0 et le second à 1. Ceci se traduit par l'expression suivante (on utilise un masque binaire avec un ET logique sur l'octet 13 afin de ne sélectionner que ces 2 flags, et on vérifie la valeur de l'octet 13) :
+On ne fait attention qu'au flags ACK et SYN : on veut que le premier soit à 0 et le second à 1. Ceci se traduit par l'expression suivante (on utilise un masque binaire avec un ET logique sur l'octet 13 afin de ne sélectionner que ces 2 flags, et on vérifie le résultat) :
 <code bash>
@@ Line 266: / Line 266: @@
 </code>
 Soit, en décimal :
-<code>
+<code bash>
 tcp[13] ET 18 = 2
 </code>
 Bref :
-<code>
+<code bash>
 tcpdump -i eth1 -s 40 'tcp[13] & 18 == 2'
+# si on veut afficher également les "SYN+ACK", on ne filtre que sur SYN=1 :
+tcpdump -i eth1 -s 40 'tcp[13] & 2 == 2'
 </code>
 (l'option -s spécifie de ne capturer que les 40 premiers octets de chaque paquet : en effet on ne s'intéresse qu'aux entêtes des paquets.)
@@ Line 287: / Line 290: @@
 tcpdump -i eth1 -s 40 'tcp[13] & 1 == 1'
 </code>
+====Filtrer les messages ICMP====
+La balise "icmp" permet de filtrer tous les paquets ICMP, mais on peut filtrer des messages particulier, par exemple les ICMP redirect (type=5) :
+<code bash>
+tcpdump -nni eth0 icmp[0] == 5
+</code>
+Pour connaitre la liste exhaustive des différents messages ICMP, go [[https://fr.wikipedia.org/wiki/Internet_Control_Message_Protocol#Les_diff%C3%A9rents_messages_de_contr%C3%B4le|Wikipedia fr]]