Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia Tcpdump PDF
Guia Tcpdump PDF
icmp / icmp6 Mostra apenas trfego ICMP ou ICMP6. # tcpdump -n tcp and '(port 80 or src port 110)' EM REDES TCP/IP COM
Mostra somente trfego ARP. Trfego ICMP referentes a qualquer host que pertena rede
arp
10.1.0.0/16, sem resolver nomes. TCPDUMP E WINDUMP
stp Apenas trfego do tipo Spanning Tree Protocol.
# tcpdump -n icmp and net 10.1.0.0/16
less tam Mostra apenas pacotes com tamanho <= tam.
Trfego referente ao host que possua o endereo MAC Verso 1.3 - 16 de junho de 2013
greater tam Mostra apenas pacotes com tamanho >= tam. especificado. No resolve nomes.
vlan id Mostra apenas o trfego relativo vlan que possui a # tcpdump -n ether host 00:ff:31:22:2d:11
identificao id.
5. Filtragem dos campos do protocolo TCP
4. Exemplos de uso possvel realizar filtragens, procurando por situaes especficas
Mostrar todo o trfego de rede, que passa pela primeira no TCP. Para isso, voc precisar conhecer a estrutura de
interface listada com # tcpdump -D, sem resolver nomes. cabealho do protocolo (RFC 793).
Isso permitir a visualizao do trfego em tempo real.
Vamos a um exemplo. Queremos filtrar apenas o trfego que
# tcpdump -n contenha as flags ACK e RST ativadas. Segundo a RFC 793, as
Trfego UDP no adaptador eth1, incluindo o payload (rea flags TCP CWR, ECE, URG, ACK, PSH, RST, SYN e FIN, nesta ordem,
de dados) em ASCII, sem resolver nomes. esto no 14 byte do cabealho. Como a contagem inicia em zero,
o 14 byte o campo 13. Assim, precisaremos marcar 1 na flag
# tcpdump -nAi eth1 udp
RST e 0 nas restantes. Pela ordem das flags, o resultado final ser
Trfego UDP com o host 10.1.1.25, sem resolver nomes. 00010100 que, em decimal, representa 20. Resultado:
2013 by Joo Eriberto Mota Filho
# tcpdump -n host 10.1.1.25 and udp # tcpdump -n tcp[13] = 20
Trfego com o host 10.1.1.2, que seja UDP, e que tenha como Para ver o trfego que NO contenha ACK e RST, utilize: http://eriberto.pro.br/redes
origem ou destino a porta 53, sem resolver nomes. # tcpdump -n tcp[13] != 20 eriberto@eriberto.pro.br
# tcpdump -n host 10.1.1.2 and udp and port 53
Trfego que envolva o host 10.1.1.25, que seja UDP, e que 6. Capturas para estudo
esteja relacionado a qualquer porta, exceto a 53, sem H diversas capturas para estudo, no wiki do Wireshark, em
resolver nomes. Tambm ser mostrado o cabealho http://wiki.wireshark.org/SampleCaptures. Ajude o
referente camada de enlace. wiki deles enviando a sua captura!!!
2048R/2DF0491F: 1D75 E212 B34C F4BF A9E0 D0D8 DE6D E039 C1CF C265
# tcpdump -ne host 10.1.1.25 and udp and port ! 53 4096R/04EBE9EF: 357D CB0E EC95 A01A EBA1 F0D2 DE63 B9C7 04EB E9EF