TCPDUMP - Com ele voc pode muito...

A partir de hoje iniciarei uma sequncia de posts sobre comandos e suas utilidades. Para iniciar nada melhor do que o TCPDUMP, poderosssimo. Para um bom administrador de redes linux impressindvel conhecer o comando tcpdump. Com ele possvel fazer dezenas de diagnsticos de rede e descobrir vrios problemas, inclusive de cabeamento. Nome: tcpdump Definio: Mostra o trfego de uma rede. Ele exibe a descrio do contedo de pacotes numa interface de rede que case com uma expresso booleana. Sintaxe: tcpdump <opes> <dispositivo> <expresso> Opes: -A Imprime cada pacote em cdigo ASCII. -c Termina a execuo aps receber n pacotes. -D Exibe a lista das interfaces de rede disponveis no sistema e que o tcpdump capaz de capturar pacotes. Esta opo associa um nmero a cada interface o qual pode ser usado no lugar do nome da mesma, ex: 1 - eth0, 2 eth1, 3 any, 4 lo (loopback); -i Recebe como parmetro a interface ou o nmero associado a ela. Se especificado any captura pacotes de todas as interfaces porm, sem ser no modo promscuo. -n No converte endereos em nomes. (endereos de host, nmero de portas, etc.) -r L os pacotes a partir de um arquivo (que tenha sido criado com a opo -w). -s Define o tamanho de cada pacote a ser capturado. interessante utilizar o valor 1500 para que seja examinado o maior tamanho possvel de pacote. -t No exibe o timestamp em cada linha. -v Exibe a sada com mais detalhes. -vv Exibe a sada com mais detalhes ainda. -vvv Exibe a sada com informaes ainda mais detalhadas. -w Escreve os pacotes em um arquivo que pode ser lido posteriormente com a opo -r. -x Exibe o contedo do pacote no formato hexadecimal. -X Exibe o contedo do pacote nos formatos hexadecimal e ASCII. expresso Seleciona quais pacotes sero exibidos. Se no for definida nenhuma expresso todos os pacotes sero exibidos. Do contrrio somente os pacotes com os quais a expresso coincidir sero exibidos. A expresso consiste em uma ou mais premissas. As premissas usualmente consistem em um ID (nome ou nmero) precedido por um ou mais qualificadores.Existem trs diferentes tipos de qualificadores: type (tipo) Especifica host, net, port e portrange. Ex: 'host dragon', 'net 192.168', ' port 22', 'portrange 5000-5777'. dir (direo) Indica a direo dos pacotes a serem capturados. Podem ser: src, dst, src or dst e src e dst, que significam respectivamente origem, destino, origem ou destino e origem e destino. Se nada for definido assume origem ou destino. proto (protocolo) Define qual o tipo de protocolo ser exibido. Os protocolos possveis so: ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp e udp. Exemplos: #tcpdump -n -i eth0 -s 1500 -X host 192.168.0.110 -c 30 (Faz a captura de 30 pacotes do host 192.168.0.110 na interface eth0 sem resolver nomes com tamanho mximo de pacote de 1500 bytes exibindo o contedo dos pacotes nos formatos ASCII e Hexadecimal) #tcpdump -i eth2 -t -vvv -s 1500 -A dst net 192.168 and not host 192.168.0.114 and not port ssh -w log.dump (Analisa o trfego da interface eth2 e coleta os dados de pacotes com at 1500 bytes referentes rede de destino 192.168.0.0 exceto o que se refere ao host 192.168.0.114 e a porta 22(ssh) com o mximo de detalhes sem exibir o timestamp e os grava no arquivo log.dump)