Un analyseur de protocole réseau, parfois appelé renifleur de paquets ou analyseur de paquets, est un outil conçu pour capturer et analyser le trafic de données au sein d'un réseau. Ils sont couramment utilisés comme outils d'investigation pour surveiller les réseaux et identifier les activités suspectes. Il existe une grande variété d'analyseurs de protocoles réseau, mais les plus courants sont les suivants :
tcpdump est un analyseur de protocole réseau en ligne de commande. Il est populaire, léger - ce qui signifie qu'il utilise peu de mémoire et peu de CPU - et utilise la bibliothèque Open-source libpcap. tcpdump est basé sur du texte, ce qui signifie que toutes les commandes sont exécutées dans le terminal. Il peut également être installé sur d'autres systèmes d'exploitation basés sur Unix, tels que macOS. Il est préinstallé sur de nombreuses distributions Linux.
tcpdump fournit une brève analyse des paquets et convertit les informations clés sur le trafic réseau dans des formats facilement lisibles par l'homme. Il imprime des informations sur chaque paquet directement dans votre terminal. tcpdump affiche également l'adresse IP source, les adresses IP de destination et les numéros de port utilisés dans les communications.
tcpdump imprime la sortie de la Commande sous la forme des paquets reniflés dans la ligne de commande, et éventuellement dans un fichier journal, après l'exécution d'une commande. La sortie d'une capture de paquets contient de nombreuses informations importantes sur le trafic réseau.
Les informations que vous recevez d'une capture de paquets sont notamment les suivantes :
Remarque : Par défaut, tcpdump tente de résoudre les adresses d'hôtes en noms d'hôtes. Il remplacera également les numéros de port par les services couramment associés qui utilisent ces ports.