Object 1

Capa / Principal / Dicas / Tcpdump Analisador de Trfego de rede

tcpdump

Tcpdump Analisador de Trfego de rede

Postado por: Alan Oliveira 2 de janeiro de 2015 em Dicas, Tutoriais 1 Comentrio

Object 2

Object 3

Object 4

Tcpdump Analisador de Trfego de rede

uma poderosa ferramenta que tem como finalidade sniffar, capturar os pacotes que passam por
uma interface auxiliando na anlises de sua rede. Tambm capaz de analisar vulnerabilidades e
ajudar a aplicar uma soluo de contorno.
Tcpdump considerado uma das melhores ferramentas open source, uma ferramenta simples mas
exige um bom conhecimento em redes TCP/IP.
Instalao
No RedHat/CentOS:

do

Tcpdump:

#yum install tcpdump

No Debian/Ubuntu:
#apt-get install tcpdump

Realizando
o
anlise
pelo
tcpdump
Com esta ferramenta podemos realizar diversos tipos de anlise, vamos mostrar alguns comandos
como exemplo:
1. Analisar todo o trfego que passa pela nossa interface de rede:
#tcpdump -i eth0

2. Analisar apenas a interface, muitas vezes no uma tarefa fcil, podemos filtrar as conexo,
como por exemplo a partir de um IP/HOST de origem (192.168.100.5):
#tcpdump -i eth0 src host 192.168.100.5

3. Tambm podemos monitorar as conexo especificando um host de destino:

#tcpdump -i eth0 dst host 192.168.100.5

4. Podemos analisar todo trfego, excluindo um host:

#tcpdump -i eth0 not host 192.168.100.5

5. Analisar os pacotes ICMP(ping):

#tcpdump -i eth0 icmp

6. Analisar os pacotes do host 192.168.100.5 apenas as portas 80 ou 443:

#tcpdump -i eth0 host 192.168.100.5 and port 80 or port 443

7. Filtrar broadcast na rede:

#tcpdump -i eth0 ip broadcast

8. Monitorando as conexes pela interface eth0 com origem do host 192.168.100.5 e com
destino o host 192.168.100.10, MENOS a porta 80 (HTTP):
#tcpdump -i eth0 src 192.168.100.5 and dst 192.168.100.10 and not port 80

9. Armazenar os pacotes capturados com tcpdump em um arquivo para futura anlise:

#tcpdump -i eth0 src 192.168.100.5 and dst 192.168.100.10 and not port 80 -w
/tmp/analise.pcap

10. Filtrar senhas no criptografadas que trafegam utilizando os servios de e-mail e aplicao
web:
#tcpdump -i eth0 port smtp or port imap or port pop3 or port http -l -A | egrep
-i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|
user:|username:|password:|login:|pass |user'

Principais Flags do tcpdump que podem lhe auxiliar durante sua anlise:
-n: No faz resoluo de nomes de hosts e nem de portas, acelerando a exibio dos
resultados na tela (tempo real).
-N: Ao resolver nomes, no mostra o domnio do host.
-v: Aumenta a quantidade de informaes extradas do cabealho do pacote.
-vv: Idem ao anterior, com mais informaes ainda.
-vvv: Idem ao anterior, com mais informaes.
-t: No mostra a data e a hora na tela.
-tttt: Mostra a data e a hora utilizando o padro yyyy-mm-dd hh:mm:ss.ssssss