Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Guia Tcpdump

    Enviado por

    Francisco Neto
    79 visualizações2 páginas
    Tcpdump

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Tcpdump

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    79 visualizações2 páginas

    Guia Tcpdump

    Enviado por

    Francisco Neto
    Tcpdump

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 2

    - Pgina 1 -

    - Pgina 2 -

    1. Introduo, terminologia e convenes

    2. Principais chaves do tcpdump (continuao)

    O tcpdump o melhor analisador de trfego em modo texto


    que existe. Ele baseado na libpcap, uma poderosa API
    para a captura de pacotes de rede durante o seu trfego.
    Assim, o tcpdump mostra as conexes estabelecidas e o
    trfego correspondente.

    Chave

    O tcpdump est disponvel para os Unix like, como


    GNU/Linux, BSD, OS X, Solaris etc.

    -v

    Funo
    Aumenta a quantidade de informaes extradas do
    cabealho do pacote.

    -vv

    Idem ao anterior, com mais informaes ainda.

    -vvv

    Idem ao anterior, com mais informaes.

    -w arq

    Grava o resultado da captura em um arquivo. importante


    ressaltar que se nenhuma outra chave ou expresso de
    filtragem for utilizada, todo o trfego passante ser
    gravado. aconselhvel utilizar as chaves -nv para
    acelerar a gravao, por no resolver nomes, e para
    mostrar detalhes da captura em andamento.

    O WinDump um port do tcpdump para o MS Windows.


    Assim, idntico ao tcpdump.
    Deste ponto em diante, a palavra tcpdump ser utilizada como
    referncia tanto para o tcpdump quanto para o WinDump.

    2. Principais chaves do tcpdump


    Chave
    -D

    Funo
    Mostra as interfaces de rede disponveis.

    -i iface Determina

    qual interface de rede dever ser utilizada.


    Caso nenhuma seja especificada, a primeira mostrada pela
    chave -D ser utilizada. possvel utilizar qualquer uma
    mostrada pela chave -D, podendo cit-la pelo nome ou
    pelo nmero. Para escutar em todas as interfaces, utilize
    any como iface.

    -n

    No faz resoluo de nomes de hosts e nem de portas,


    acelerando a exibio dos resultados na tela (tempo real).
    aconselhvel sempre utilizar -n nas anlises de trfego.

    -r arq

    L um arquivo previamente gravado com -w. Diversas


    chaves podero ser utilizadas para depurar o resultado.

    -t

    No mostra a data e a hora na tela.

    -tttt

    Mostra a data e a hora utilizando o padro yyyy-mm-dd


    hh:mm:ss.ssssss.

    -e

    Mostra tambm os dados referentes camada 2 do


    Modelo OSI (enlace).

    -S

    Exibe os resultados TCP utilizando a sua sequncia


    absoluta, em vez da sequncia relativa. Recomendado na
    anlise de sequncias TCP.

    As chaves mostradas so as principais. H muitas outras


    disponveis, que podero ser vistas na manpage ($ man tcpdump)
    ou em http://www.tcpdump.org/tcpdump_man.html.

    -N

    Ao resolver nomes, no mostra o domnio do host.

    -A

    Mostra cabealho e payload dos pacotes em ASCII.

    3. Expresses de filtragem

    -X

    Idem, mas em hexadecimal e caracteres ASCII.

    -x

    Idem, mas somente em sequncias em hexadecimal.

    -v

    Aumenta a quantidade de informaes extradas do


    cabealho do pacote.

    O tcpdump, por estar baseado na libpcap, utiliza as expresses de


    filtragem fornecidas por esta. Tais expresses podero ser vistas
    no manual on-line da library ($ man pcap-filter no Debian) ou
    em http://www.manpagez.com/man/7/pcap-filter.

    - Pgina 3 -

    A seguir, algumas expresses muito utilizadas.


    Chave
    host nome-ip

    Funo
    Especifica que somente o trfego envolvendo a
    mquina em questo, referenciada pelo seu
    nome ou IP, ser mostrado.

    net rede/CIDR

    Idem ao anterior. No entanto, a filtragem em


    relao a uma faixa de rede, em vez de uma
    mquina nica. A expresso de filtragem poder
    ser com CIDR, como em 192.168.1.0/24, ou
    com mscara de rede, como em 192.168.0.16
    mask 255.255.255.0.

    ether host MAC

    Idem, referindo-se a um endereo MAC.

    port porta

    Idem, referindo-se a uma porta.

    portrange 20-90

    Idem, referindo-se ao range de portas de 20

    src

    Delimita origem. Pode ser associado a host,


    net, port, portrange e ether host. Exemplos:
    src host, src net, src port, ether src host.

    dst

    Delimita ao destino. Pode ser associado a host, net,


    port, portrange e ether host. Ex.: dst host.

    a 90.

    not

    ou !

    Operador lgico NOT. Utilizado para excluir


    algo do resultado da pesquisa. Ex.: ! port 80.

    and

    ou &&

    Operador lgico AND. Utilizado para associar


    duas ou mais expresses, tornando-as
    obrigatrias no resultado da pesquisa.

    or

    ou ||

    Operador lgico OR. Utilizado para declarar


    duas ou mais expresses, fazendo com que, pelo
    menos uma, aparea no resultado da pesquisa.

    ip

    Mostra somente o trfego IPv4.

    ip6

    Mostra somente o trfego IPv6.

    tcp

    Mostra somente o trfego TCP.

    - Pgina 4 -

    - Pgina 5 -

    Trfego TCP que seja oriundo ou destinado porta 80 ou que


    seja apenas oriundo da 110, sem resolver nomes. Os
    apstrofos foram utilizados para evitar a interpretao errnea
    dos parnteses pelo shell.

    3. Expresses de filtragem (continuao)


    Chave
    udp

    Funo
    Mostra somente o trfego UDP.

    icmp / icmp6

    Mostra apenas trfego ICMP ou ICMP6.

    arp

    Mostra somente trfego ARP.

    stp

    Apenas trfego do tipo Spanning Tree Protocol.

    less tam

    Mostra apenas pacotes com tamanho <=

    tam.

    greater tam

    Mostra apenas pacotes com tamanho >=

    tam.

    vlan id

    Mostra apenas o trfego relativo vlan que possui a


    identificao id.

    # tcpdump -n tcp and '(port 80 or src port 110)'

    4. Exemplos de uso

    Trfego ICMP referentes a qualquer host que pertena rede


    10.1.0.0/16, sem resolver nomes.
    # tcpdump -n icmp and net 10.1.0.0/16

    Trfego referente ao host que possua o endereo MAC


    especificado. No resolve nomes.

    Verso 1.3 - 16 de junho de 2013

    # tcpdump -n ether host 00:ff:31:22:2d:11

    5. Filtragem dos campos do protocolo TCP

    possvel realizar filtragens, procurando por situaes especficas


    Mostrar todo o trfego de rede, que passa pela primeira
    no TCP. Para isso, voc precisar conhecer a estrutura de
    interface listada com # tcpdump -D, sem resolver nomes. cabealho do protocolo (RFC 793).
    Isso permitir a visualizao do trfego em tempo real.
    Vamos a um exemplo. Queremos filtrar apenas o trfego que
    # tcpdump -n
    contenha as flags ACK e RST ativadas. Segundo a RFC 793, as
    flags TCP CWR, ECE, URG, ACK, PSH, RST, SYN e FIN, nesta ordem,
    Trfego UDP no adaptador eth1, incluindo o payload (rea
    esto no 14 byte do cabealho. Como a contagem inicia em zero,
    de dados) em ASCII, sem resolver nomes.
    o 14 byte o campo 13. Assim, precisaremos marcar 1 na flag
    # tcpdump -nAi eth1 udp
    RST e 0 nas restantes. Pela ordem das flags, o resultado final ser
    00010100 que, em decimal, representa 20. Resultado:
    Trfego UDP com o host 10.1.1.25, sem resolver nomes.
    # tcpdump -n host 10.1.1.25 and udp

    ANLISE DE TRFEGO
    EM REDES TCP/IP COM
    TCPDUMP E WINDUMP

    # tcpdump -n tcp[13] = 20

    Trfego com o host 10.1.1.2, que seja UDP, e que tenha como Para ver o trfego que NO contenha ACK e RST, utilize:
    origem ou destino a porta 53, sem resolver nomes.
    # tcpdump -n tcp[13] != 20

    2013 by Joo Eriberto Mota Filho


    http://eriberto.pro.br/redes
    eriberto@eriberto.pro.br

    # tcpdump -n host 10.1.1.2 and udp and port 53

    Trfego que envolva o host 10.1.1.25, que seja UDP, e que


    esteja relacionado a qualquer porta, exceto a 53, sem
    resolver nomes. Tambm ser mostrado o cabealho
    referente camada de enlace.
    # tcpdump -ne host 10.1.1.25 and udp and port ! 53

    6. Capturas para estudo


    H diversas capturas para estudo, no wiki do Wireshark, em
    http://wiki.wireshark.org/SampleCaptures. Ajude o
    wiki deles enviando a sua captura!!!

    2048R/2DF0491F: 1D75 E212 B34C F4BF A9E0 D0D8 DE6D E039 C1CF C265
    4096R/04EBE9EF: 357D CB0E EC95 A01A EBA1 F0D2 DE63 B9C7 04EB E9EF

    Você também pode gostar