Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Guia Tcpdump PDF

    Enviado por

    jordanofreitas
    24 visualizações2 páginas

    Título original

    guia_tcpdump.pdf

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    24 visualizações2 páginas

    Guia Tcpdump PDF

    Enviado por

    jordanofreitas

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 2

    - Pgina 1 - - Pgina 2 - - Pgina 3 -

    A seguir, algumas expresses muito utilizadas.


    1. Introduo, terminologia e convenes 2. Principais chaves do tcpdump (continuao)
    Chave Funo
    O tcpdump o melhor analisador de trfego em modo texto Chave Funo
    que existe. Ele baseado na libpcap, uma poderosa API host nome-ip Especifica que somente o trfego envolvendo a
    -v Aumenta a quantidade de informaes extradas do
    para a captura de pacotes de rede durante o seu trfego. mquina em questo, referenciada pelo seu
    cabealho do pacote.
    Assim, o tcpdump mostra as conexes estabelecidas e o nome ou IP, ser mostrado.
    trfego correspondente. -vv Idem ao anterior, com mais informaes ainda.
    net rede/CIDR Idem ao anterior. No entanto, a filtragem em
    O tcpdump est disponvel para os Unix like, como -vvv Idem ao anterior, com mais informaes. relao a uma faixa de rede, em vez de uma
    GNU/Linux, BSD, OS X, Solaris etc. mquina nica. A expresso de filtragem poder
    -w arq Grava o resultado da captura em um arquivo. importante ser com CIDR, como em 192.168.1.0/24, ou
    O WinDump um port do tcpdump para o MS Windows. ressaltar que se nenhuma outra chave ou expresso de com mscara de rede, como em 192.168.0.16
    Assim, idntico ao tcpdump. filtragem for utilizada, todo o trfego passante ser mask 255.255.255.0.
    gravado. aconselhvel utilizar as chaves -nv para
    Deste ponto em diante, a palavra tcpdump ser utilizada como acelerar a gravao, por no resolver nomes, e para ether host MAC Idem, referindo-se a um endereo MAC.
    referncia tanto para o tcpdump quanto para o WinDump. mostrar detalhes da captura em andamento.
    port porta Idem, referindo-se a uma porta.
    -r arq L um arquivo previamente gravado com -w. Diversas
    2. Principais chaves do tcpdump portrange 20-90 Idem, referindo-se ao range de portas de 20 a 90.
    chaves podero ser utilizadas para depurar o resultado.
    Chave Funo src Delimita origem. Pode ser associado a host,
    -t No mostra a data e a hora na tela.
    -D Mostra as interfaces de rede disponveis. net, port, portrange e ether host. Exemplos:
    -tttt Mostra a data e a hora utilizando o padro yyyy-mm-dd src host, src net, src port, ether src host.
    -i iface Determina qual interface de rede dever ser utilizada. hh:mm:ss.ssssss.
    Caso nenhuma seja especificada, a primeira mostrada pela dst Delimita ao destino. Pode ser associado a host, net,
    chave -D ser utilizada. possvel utilizar qualquer uma -e Mostra tambm os dados referentes camada 2 do port, portrange e ether host. Ex.: dst host.
    mostrada pela chave -D, podendo cit-la pelo nome ou Modelo OSI (enlace).
    not ou ! Operador lgico NOT. Utilizado para excluir
    pelo nmero. Para escutar em todas as interfaces, utilize -S Exibe os resultados TCP utilizando a sua sequncia algo do resultado da pesquisa. Ex.: ! port 80.
    any como iface.
    absoluta, em vez da sequncia relativa. Recomendado na
    and ou && Operador lgico AND. Utilizado para associar
    -n No faz resoluo de nomes de hosts e nem de portas, anlise de sequncias TCP.
    duas ou mais expresses, tornando-as
    acelerando a exibio dos resultados na tela (tempo real). As chaves mostradas so as principais. H muitas outras obrigatrias no resultado da pesquisa.
    aconselhvel sempre utilizar -n nas anlises de trfego. disponveis, que podero ser vistas na manpage ($ man tcpdump)
    or ou || Operador lgico OR. Utilizado para declarar
    -N Ao resolver nomes, no mostra o domnio do host. ou em http://www.tcpdump.org/tcpdump_man.html.
    duas ou mais expresses, fazendo com que, pelo
    -A Mostra cabealho e payload dos pacotes em ASCII. menos uma, aparea no resultado da pesquisa.
    3. Expresses de filtragem
    -X Idem, mas em hexadecimal e caracteres ASCII. ip Mostra somente o trfego IPv4.
    O tcpdump, por estar baseado na libpcap, utiliza as expresses de
    -x Idem, mas somente em sequncias em hexadecimal. filtragem fornecidas por esta. Tais expresses podero ser vistas ip6 Mostra somente o trfego IPv6.
    no manual on-line da library ($ man pcap-filter no Debian) ou
    -v Aumenta a quantidade de informaes extradas do em http://www.manpagez.com/man/7/pcap-filter. tcp Mostra somente o trfego TCP.
    cabealho do pacote.
    - Pgina 4 - - Pgina 5 -
    Trfego TCP que seja oriundo ou destinado porta 80 ou que
    3. Expresses de filtragem (continuao) seja apenas oriundo da 110, sem resolver nomes. Os
    Chave Funo apstrofos foram utilizados para evitar a interpretao errnea ANLISE DE TRFEGO
    udp Mostra somente o trfego UDP. dos parnteses pelo shell.

    icmp / icmp6 Mostra apenas trfego ICMP ou ICMP6. # tcpdump -n tcp and '(port 80 or src port 110)' EM REDES TCP/IP COM
    Mostra somente trfego ARP. Trfego ICMP referentes a qualquer host que pertena rede
    arp
    10.1.0.0/16, sem resolver nomes. TCPDUMP E WINDUMP
    stp Apenas trfego do tipo Spanning Tree Protocol.
    # tcpdump -n icmp and net 10.1.0.0/16
    less tam Mostra apenas pacotes com tamanho <= tam.
    Trfego referente ao host que possua o endereo MAC Verso 1.3 - 16 de junho de 2013
    greater tam Mostra apenas pacotes com tamanho >= tam. especificado. No resolve nomes.
    vlan id Mostra apenas o trfego relativo vlan que possui a # tcpdump -n ether host 00:ff:31:22:2d:11
    identificao id.
    5. Filtragem dos campos do protocolo TCP
    4. Exemplos de uso possvel realizar filtragens, procurando por situaes especficas
    Mostrar todo o trfego de rede, que passa pela primeira no TCP. Para isso, voc precisar conhecer a estrutura de
    interface listada com # tcpdump -D, sem resolver nomes. cabealho do protocolo (RFC 793).
    Isso permitir a visualizao do trfego em tempo real.
    Vamos a um exemplo. Queremos filtrar apenas o trfego que
    # tcpdump -n contenha as flags ACK e RST ativadas. Segundo a RFC 793, as
    Trfego UDP no adaptador eth1, incluindo o payload (rea flags TCP CWR, ECE, URG, ACK, PSH, RST, SYN e FIN, nesta ordem,
    de dados) em ASCII, sem resolver nomes. esto no 14 byte do cabealho. Como a contagem inicia em zero,
    o 14 byte o campo 13. Assim, precisaremos marcar 1 na flag
    # tcpdump -nAi eth1 udp
    RST e 0 nas restantes. Pela ordem das flags, o resultado final ser
    Trfego UDP com o host 10.1.1.25, sem resolver nomes. 00010100 que, em decimal, representa 20. Resultado:
    2013 by Joo Eriberto Mota Filho
    # tcpdump -n host 10.1.1.25 and udp # tcpdump -n tcp[13] = 20

    Trfego com o host 10.1.1.2, que seja UDP, e que tenha como Para ver o trfego que NO contenha ACK e RST, utilize: http://eriberto.pro.br/redes
    origem ou destino a porta 53, sem resolver nomes. # tcpdump -n tcp[13] != 20 eriberto@eriberto.pro.br
    # tcpdump -n host 10.1.1.2 and udp and port 53

    Trfego que envolva o host 10.1.1.25, que seja UDP, e que 6. Capturas para estudo
    esteja relacionado a qualquer porta, exceto a 53, sem H diversas capturas para estudo, no wiki do Wireshark, em
    resolver nomes. Tambm ser mostrado o cabealho http://wiki.wireshark.org/SampleCaptures. Ajude o
    referente camada de enlace. wiki deles enviando a sua captura!!!
    2048R/2DF0491F: 1D75 E212 B34C F4BF A9E0 D0D8 DE6D E039 C1CF C265
    # tcpdump -ne host 10.1.1.25 and udp and port ! 53 4096R/04EBE9EF: 357D CB0E EC95 A01A EBA1 F0D2 DE63 B9C7 04EB E9EF

    Você também pode gostar