Neste TechTip irei descrever alguns comandos básicos do tcpdump que é um ferramenta gratuita e serve para monitorar os pacotes que trafegam pela rede. Para um administrador de rede esta ferramenta é indispensável na análise de problemas e vulnerabilidades de uma rede de computadores.
Na maioria dos sistemas Linux esta ferramenta já vem instalada, caso precise instalar, você pode consultar o site: http://www.tcpdump.org.
Para que este comando funcione você precisar acessar um equipamento Linux com um usuário que possua privilégios no sistema operacional, pois este comando irá deixar sua interface no modo promíscuo. Este modo deixa sua interface “escutando” todo o tráfego que passa por ela. É usado geralmente para diagnosticar problemas de conectividade de rede.
Neste artigo descreverei alguns comando básicos que um administrador de redes usa em seu dia a dia, para comandos mais específicos da ferramenta você pode consultar o site: http://www.tcpdump.org/tcpdump_man.html.
Desvendando o comando TCPDUMP e mostrando alguns exemplos de uso
Para exibir o tráfego da interface eth0:
# tcpdump -i <Interface>
Exemplo:
# tcpdump -i eth0
Para exibir conexões com origem de um IP específico:
# tcpdump -i <interface> src host <ip>
Exemplo:
# tcpdump -i eth0 src host 192.168.0.9
Para exibir conexões com um destino de IP específico:
# tcpdump -i <interface> dst host <ip>
Exemplo:
# tcpdump -i eth0 dst host 192.168.0.1
Para exibir o tráfego que passa pela interface com exceção de um IP:
# tcpdump -i <interface> not host <ip>
Exemplo:
# tcpdump -i eth0 not host 192.168.0.9
Para exibir o tráfego de uma porta específica de destino:
# tcpdump -i <interface> dst port <port>
Exemplo:
# tcpdump -i eth0 dst port 80
Para exibir o tráfego de uma porta específica de origem:
# tcpdump -i <interface> src port <port>
Exemplo:
# tcpdump -i eth0 src port 32881
Para exibir o tráfego especificando uma origem e um destino:
# tcpdump -i <interface> src <ip> and dst <ip> –nn
Exemplo:
# tcpdump -i eth0 src 192.168.210.201 and dst 192.168.210.5 –nn
Para exibir o tráfego especificando uma origem e um destino menos uma determinada porta:
# tcpdump -i <interface> src <ip> and dst <ip> and not port <port> –nn
Exemplo:
# tcpdump -i eth0 src 192.168.210.201 and dst 192.168.210.5 and not port 22 –nn
Para exibir o tráfego de um host e gerar um arquivo de saída para análise posterior:
# tcpdump -i <interface> host <ip> -nn -w log_tcpdump
Exemplo:
# tcpdump -i eth0 host 192.168.210.201 -nn -w log_tcpdump
Para exibir o tráfego especificando uma origem, um destino e uma porta específica:
# tcpdump -i <interface> src <ip> and dst <ip> and port <port>
Exemplo:
# tcpdump -i eth0 src 192.168.210.201 and dst 192.168.210.5 and port 22
Neste artigo, descrevi como funciona e mostrei alguns exemplos de uso da ferramenta TCPDUMP, que ajuda no dia a dia de um administrador de redes. Espero ter ajudado!