- Pgina 1 -

1. Introduo, terminologia e convenes

O tcpdump o melhor analisador de trfego em modo
texto que existe. Ele baseado na libpcap, uma
poderosa API para a captura de pacotes de rede durante
o seu trfego. Assim, o tcpdump mostra as conexes
estabelecidas e o trfego correspondente.
O tcpdump est dispon!"el para os #nix li$e, como
%&#'(inux, )*+, O* ,, *olaris etc.
O WinDump um port do tcpdump para o -* .indo/s.
Assim, id0ntico ao tcpdump.
+este ponto em diante, a pala"ra tcpdump ser utili1ada
como refer0ncia tanto para o tcpdump quanto para o
WinDump.
2. Principais chaves do tcpdump
Chave Funo
-D -ostra as interfaces de rede dispon!"eis.
-i iface +etermina qual interface de rede de"er ser utili1ada.
2aso nenhuma se3a especificada, a primeira mostrada
pela cha"e -D ser utili1ada. 4 poss!"el utili1ar
qualquer uma mostrada pela cha"e -D, podendo cit5la
pelo nome ou pelo n6mero. Para escutar em todas as
interfaces, utili1e any como iface.
-n &7o fa1 resolu87o de nomes de hosts e nem de portas,
acelerando a exibi87o dos resultados na tela 9tempo
real:. 4 aconselh"el sempre utili1ar -n nas anlises
de trfego.
-N Ao resol"er nomes, n7o mostra o dom!nio do host.
-A -ostra cabe8alho e pa;load dos pacotes em A*2II.
- Pgina 2 -
2. Principais chaves do tcpdump continuao!
Chave Funo
-X Idem, mas em hexadecimal e caracteres A*2II.
-x Idem, mas somente em sequ0ncias em hexadecimal.
-v Aumenta a quantidade de informa8es extra!das do
cabe8alho do pacote.
-vv Idem ao anterior, com mais informa8es ainda.
-vvv Idem ao anterior, com mais informa8es.
-w arq %ra"a o resultado da captura em um arqui"o. 4
importante ressaltar que se nenhuma outra cha"e ou
express7o de filtragem for utili1ada, todo o trfego
passante ser gra"ado. 4 aconselh"el utili1ar as
cha"es -nv para acelerar a gra"a87o, por n7o resol"er
nomes, e para mostrar detalhes da captura em
andamento.
-r arq (0 um arqui"o pre"iamente gra"ado com -w. +i"ersas
cha"es poder7o ser utili1adas para depurar o resultado.
-t &7o mostra a data e a hora na tela.
-tttt -ostra a data e a hora utili1ando o padr7o yyyy-mm-dd
hh:mm:ss.ssssss.
-e -ostra tambm os dados referentes < camada = do
-odelo O*I 9enlace:.
-S Exibe os resultados >2P utili1ando a sua sequ0ncia
absoluta, em "e1 da sequ0ncia relati"a. ?ecomendado
na anlise de sequ0ncias >2P.
As cha"es mostradas s7o as principais. @ muitas outras
dispon!"eis, que poder7o ser "istas no seu manual on5line,
com o comando $ man tcpdump ou em
http:www.tcpdump.!r"tcpdump#man.html.
- Pgina " -
". #$presses de %iltragem
O tcpdump, por estar baseado na libpcap, utili1a as
expresses de filtragem fornecidas por esta. >ais
expresses poder7o ser "istas no manual on5line da
librar; 9$ man pcap-filter no +ebian: ou em
http:www.manpa"e$.c!mman%pcap-filter.
A seguir, algumas expresses muito utili1adas.
Chave Funo
h!st nome-ip Especifica que somente o trfego en"ol"endo
a mquina em quest7o, referenciada pelo seu
nome ou IP, ser mostrado.
net rede/CIDR Idem ao anterior. &o entanto, a filtragem em
rela87o a uma faixa de rede, em "e1 de uma
mquina 6nica. A express7o de filtragem
poder ser com &'D(, como em
)*+.),-.)..+/, ou com mscara de rede,
como em )*+.),-...), mas0 +11.+11.+11...
ether h!st MAC Idem, referindo5se a um endere8o 2A&.
p!rt porta Idem, referindo5se a uma porta.
src +elimita < origem. Pode ser associado a h!st,
net, p!rt e ether h!st. ExemplosA src h!st,
src net, src p!rt, ether src h!st.
dst +elimita ao destino. Pode ser associado a
h!st, net, p!rt e ether h!st. Ex.A dst h!st.
n!t ou 3 Operador lBgico N45. #tili1ado para excluir
algo do resultado da pesquisa. Ex.A 3 p!rt -..
and ou 66 Operador lBgico AND. #tili1ado para associar
duas ou mais expresses, tornando5as
obrigatBrias no resultado da pesquisa.
- Pgina & -
". #$presses de %iltragem continuao!
Chave Funo
!r ou 77 Operador lBgico 4(. #tili1ado para declarar duas ou
mais expresses, fa1endo com que, pelo menos
uma, apare8a no resultado da pesquisa.
&. #$emplos de uso
-ostrar todo o trfego de rede, que passa pela
primeira interface listada com 8 tcpdump -D, sem
resol"er nomes. Isso permitir a "isuali1a87o do
trfego em tempo real.
8 tcpdump -n
>rfego 9D: no adaptador eth), incluindo o pa;load
9rea de dados: em A*2II, sem resol"er nomes.
8 tcpdump -nAi eth) udp
>rfego que en"ol"a o host CD.C.C.=E e que se3a 9D:,
sem resol"er nomes.
8 tcpdump -n h!st )..).).+1 and udp
>rfego en"ol"endo o host CD.C.C.=, que se3a 9D:, e
que tenha como origem ou destino a porta EF, sem
resol"er nomes.
8 tcpdump -n h!st )..).).+ and udp and p!rt 1;
>rfego que en"ol"a o host CD.C.C.=E, que se3a 9D:, e
que este3a relacionado a qualquer porta, exceto a EF,
sem resol"er nomes. >ambm ser mostrado o
cabe8alho referente < camada de enlace.
8 tcpdump -ne h!st )..).).+1 and udp and p!rt 3 1;
- Pgina ' -
>rfego 5&: que se3a oriundo ou destinado < porta GD ou
que se3a apenas oriundo da CCD, sem resol"er nomes.
Os apBstrofos foram utili1ados para e"itar a
interpreta87o errHnea dos par0nteses pelo shell.
8 tcpdump -n tcp and <=p!rt -. !r src p!rt )).><
>rfego '&2: referentes a qualquer host que perten8a <
rede CD.C.D.D'CI, sem resol"er nomes.
8 tcpdump -n icmp and net )..)....),
>rfego referente ao host que possua o endere8o 2A&
especificado. &7o resol"e nomes.
8 tcpdump -n ether h!st ..:ff:;):++:+d:))
'. Filtragem dos campos do protocolo (CP
4 poss!"el reali1ar filtragens, procurando por situa8es
espec!ficas no 5&:. Para isso, "oc0 precisar conhecer a
estrutura de cabe8alho do protocolo 9?J2 KLF:.
Mamos a um exemplo. Nueremos filtrar apenas o trfego
que contenha as flags A&? e (S5 ati"adas. *egundo a ?J2
KLF, as flags 5&: &W(, @&@, 9(A, A&?, :SB, (S5, SCN e D'N,
nesta ordem, est7o no COP b;te do cabe8alho. 2omo a
contagem inicia em 1ero, o COP b;te o campo CF. Assim,
precisaremos marcar ) na flag (S5 e . nas restantes. Pela
ordem das flags, o resultado final ser ...).).. que, em
decimal, representa +.. ?esultadoA
8 tcpdump -n tcpE);F GG +.
). Capturas para estudo
@ di"ersas capturas para estudo, no /i$i do .ireshar$, em
http:wi0i.wireshar0.!r"Sample&aptures. A3ude o
/i$i deles en"iando a sua capturaQQQ
ANLISE DE TRFEGO
EM REDES TCP/IP COM
TCPDUMP E WINDUMP
*erso 1.2 - 11 de maro de 2+1"
, 2+1" -. /oo #ri-erto 0ota Filho
http122eri-erto.pro.-r2redes
eri-erto3eri-erto.pro.-r
2048R/2DF0491F: 1D75 E212 B34C F4BF A9E0 D0D8 DE6D E039 C1CF C265
4096R/04EBE9EF: 357D CB0E EC95 A01A EBA1 F0D2 DE63 B9C7 04EB E9EF