TCP DUMP

Image result for tcpdump logo

Galera o tcpdump é a ferramenta de análise de rede,ter uma sólida compreensão desta aplicação e de estrema importância para qualquer um que deseja uma compreensão completa de TCP / IP . Muitos preferem usar ferramentas de análise de nível superior, como Wireshark, Microsoft Network Monitor e etc.A compreensão profunda destes protocolos permite solucionar problemas em um nível muito alto com domínio dos protocolos,ao usar uma ferramenta que exibe o tráfego de rede de forma mais natural com análise, vamos ver algumas opções como:

-n : os nomes não são resolvidos
-X : exibe o conteudo tanto em hex quanto em ASCII
-S : muda a sequencia dos numeros absolutos ao inves de relativos

E importante observar que o tcpdump só da os primeiros 96 bytes de dados de um pacote por padrão, se você quiser olhar mais pacotes ira te que adicionar a flag “-s” e o numero de bytes que desejar,usar o numero zero significa que ira receber todos os bytes,alguns dicas:

-i : ouça todas as interfaces para ver se esta avendo algum trfego
-n : não resolve nomes do hosts
-nn : não resolve nomes e portas dos hosts
-X : ver o pacote do conteudo tanto em ASCII ou Hexadecimal
-XX : mostra o cabeçalho de ethernet
-V,-vv,-vvv : aumenta a quantidade de informações de pacotes
-c : obtem um numero x de pacotes especificado por você
-s : define o tamanho de captura de bytes, usando -s0 ira capturar todos os pacotes
-S : imprime um numero de sequencias absolutas
-e : obtem o cabeçalho de ethernet também
-q : ver menos informações do protocolo
-E : ver o trafego do IPSEC, fornecendo assim uma chave de criptografia

* vejamos uma comunicação basica : tcpdump -NS
* comunicação basica mas detalhada : tcpdump -nnvvS
* ver mais coisas no trafego : tcpdump -nnvvXS
* visualizar um pacote maior,aumentando assim o valor : tcpdump -nnvvXS 1512

>>> Sintaxe comum

Algumas expressões que permitem varios tipos de trafegos que você pode procurar,existem 3 tipos de expressões principais type, dir, e proto.
As opções host, net, e port. indicando por dir, podendo ter src, dst, src e dst, src e dst vamos ver algumas abaixo:

* host : ver o trafego com base em um endereço ip ou nome do host e claro se você não estiver usando a
opção “-n” , veja o exemplo abaixo:

# tcpdump host 10.0.0.1

* src,dst : encontra o trafego de apenas uma fonte destino ou de algum destino

# tcpdump src 10.0.0.1
# tcpdump dst 10.0.0.2

* net : captura a entrada da rede usando a notação CIDR

# tcpdump net 10.0.0.1/24

* proto : funciona para TCP,ICMP,UDP note que você não tem que digitar o proto

# tcpdump tcp

* port : funciona em uma determinda porta para analisar o trafego

# tcpdump port 3305

* src port, dst port : filtro baseado na fonte ou na porta destino

# tcpdump src port 1025
# tcpdump dst port 389

* src/dst,port,protocol : combinando todos os três

# tcpdump src port 1025 e tcp
# tcpdump udp e src port 53

Podemos usar também a filtragem de porta por entervalo, em vez de declarar individualmente

* Range de Porta : podemos ver o trafego de qualquer porta em um intervalo

# tcpdump portrange 21-53

* Filtros de pacotes : ver os pacotes de um determinado tamanho, com o seguinte simbolos

# tcpdump > 32
# tcpdump <= 128

Podemos enviar o arquivo capturado em um arquivo usando a opção -w de depois lê-lo de volta usando a opção -r, esta e uma excelente maneira de capturar o tráfegos cru para depois ser usado em algum outro programa.O tráfego capturado desta forma é armazenado em um formato do tcpdump,isso significa que ele pode ser lido em por todos os tipos de ferramentas, como Wireshark,Snort e etc

Abaixo vamos capturar o tráfego da porta 80 para um arquivo

# tcpdump -s 1514 port 80 -w capture_file

Caso queira você pode ler o tráfego de volta assim:

# tcpdump -r capture_file

Bem galera tem mais um monte de sintaxe que você pode usar mas vou ficar por aqui,até o próximo tópico

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s