Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Como usar o tcpdump para monitorar redes

    Enviado por

    Wolney Dias
    67 visualizações3 páginas
    tcpdump comandos praticos

    Título original

    tcpdump comandos praticos

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    ODT, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    tcpdump comandos praticos

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato ODT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    67 visualizações3 páginas

    Como usar o tcpdump para monitorar redes

    Enviado por

    Wolney Dias
    tcpdump comandos praticos

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato ODT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 3

    Comando tcpdump - exemplos de uso

    Monitorando as conexes pela interface eth0 com destino ao host 192.168.210.201 sem resolver
    nomes ou portas:
    # tcpdump -i eth0 dst 192.168.210.201 -nn
    09:23:09.826907 IP 192.168.210.5.22 > 192.168.210.201.2210: P 188964:189112(148)
    ack 833 win 8576
    09:23:09.826958 IP 192.168.210.5.22 > 192.168.210.201.2210: P 189112:189260(148)
    ack 833 win 8576
    Monitorando as conexes pela interface eth0 com origem do host 192.168.210.201 e com destino o
    host 192.168.210.5 sem resolver nomes ou portas:
    # tcpdump -i eth0 src 192.168.210.201 and dst 192.168.210.5 -nn
    09:24:42.805222 IP 192.168.210.201.2210 > 192.168.210.5.22: . ack 1005731904 win
    65287
    09:24:43.003885 IP 192.168.210.201.2210 > 192.168.210.5.22: . ack 133 win 65155
    Monitorando as conexes pela interface eth0 com origem do host 192.168.210.201 e com destino o
    host 192.168.210.5, MENOS a porta 22 (ssh), sem resolver nomes ou portas:
    # tcpdump -i eth0 src 192.168.210.201 and dst 192.168.210.5 and not port 22 -nn
    09:27:40.065359 IP 192.168.210.201.2346 > 192.168.210.5.98: . ack 3794525559 win
    64846
    09:27:40.232109 IP 192.168.210.201.2346 > 192.168.210.5.98: F 0:0(0) ack 1 win
    64846
    Monitorando as conexes pela interface eth0 tanto origem como destino o host host
    192.168.210.201:
    # tcpdump -i eth0 host 192.168.210.201 -nn
    09:28:12.404899 IP 192.168.210.5.22 > 192.168.210.201.2210: P
    2104076:2104224(148) ack 9465 win 16080
    09:28:12.404943 IP 192.168.210.5.22 > 192.168.210.201.2210: P
    2104224:2104372(148) ack 9465 win 16080
    Monitorando as conexes pela interface eth0 com origem do host 192.168.210.201 e com destino o
    host 192.168.210.5, MENOS a porta 22 (ssh), sem resolver nomes ou portas e inserindo a sada do
    comando no arquivo log_tcpdump (no diretrio corrente):

    # tcpdump -i eth0 src 192.168.210.201 and dst 192.168.210.5 and not port 22 -nn -w
    log_tcpdump
    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes
    ^C7 packets captured
    7 packets received by filter
    0 packets dropped by kernel
    # ls
    log_tcpdump
    Monitorar conexes entrantes / saintes na porta 80 (http) na interface eth0 (ao no especificar
    device de escuta "-i ethX", por padro a interface eth0 escutada):
    # tcpdump port 80
    09:37:00.589858 IP 5b.16.344a.static.theplanet.com.http >
    master.ctberrini.com.br.46682: P 814487551:814488703(1152) ack 4015645779 win 1758
    09:37:00.664095 IP master.ctberrini.com.br.46682 >
    5b.16.344a.static.theplanet.com.http: . ack 1152 win 0
    09:37:01.830973 IP 5b.16.344a.static.theplanet.com.http >
    master.ctberrini.com.br.46682: . ack 1 win 1758

    Exemplos de uso do tcpdump

    Ol pessoal,
    Para muitos o contedo do mesmo ser ridiculamente bsico (fcil), mas trabalhando na rea de
    suporte tcnico, vejo que meus clientes no sabem nem um pouco do que se passa em seu firewall.
    Bom, vamos para o que interessa, segue a dica. Grato desde j e ansioso pelas crticas construtivas.

    Um pouco sobre tcpdump


    Aqui veremos alguns comando a serem usados para sniffar sua rede com firewall Linux.
    Neste comando estamos sniffando a eth0 para um determinado host:
    # tcpdump -i eth0 -qtNnn host 0.0.0.0
    Neste comando estamos sniffando a eth0 para uma determinada porta:

    # tcpdump -i eth0 -qtNnn port 110


    Neste comando estamos sniffando a eth0 para recebimento de ping:
    # tcpdump -i eth0 -qtNnn icmp
    Neste comando estamos sniffando a eth0 para um destino especificado:
    # tcpdump -i eth0 -qtNnn dst 0.0.0.0
    Neste comando estamos sniffando a eth0 para uma origem especificada:
    # tcpdump -i eth0 -qtNnn src 0.0.0.0
    O comando tcpdump possui vrios complementos os quais veremos agora.
    Neste comando repare que acrescentamos "Xxx", esses parmetros permitem que voc abra o
    pacote que est sendo transmitido pelo host determinado:
    # tcpdump -i eth0 -qtNnnXxx host 0.0.0.0
    Neste comando estamos sniffando um determinado host falando na porta 3389 (Terminal Service):
    # tcpdump -i eth0 -qtNnn host 0.0.0.0 and port 3389
    No firewall ele nos permite realizarmos vrios tipos de filtros e parmetros, a seguir veremos um
    tcpdump com host, porta e excluso de porta:
    # tcpdump -i eth0 -qtNnn host 0.0.0.0 and port 25 and not port 3389
    Bom, tambm podemos realizar tcpdump em determinadas portas e excluindo alguns hosts. Ex:
    # tcpdump -i eth0 -qtNnn port 3389 and port 25 and port 110 and not port 443 and not port
    3128 and not host 0.0.0.0 and not host 0.0.0.0
    Bom, isso a, espero que tenha ajudado algum que ainda no sabia de algo e para aqueles que j
    so doutores em tcpdump, espero que tenha relembrado algo que j no estava mais fresco na
    memria.
    Caso tenham algum parmetro no comando tcpdump, por favor, comentem.

    Você também pode gostar