Fortaleza / 2013 Tcpdump ● Introdução ● Software para coleta e análise de pacotes. ● Disponível em diferentes plataformas – Linux – Mac OS X – Windows (Windump) ● Tipos de análise – Análise Online – Análise Offline Tcpdump ● Introdução ● Interface em linha de comando (CLI) Análise Online ● Coleta básica ● tcpdump -i eth0 – Parametro '-i iface' ● iface: Interface utilizada para a coleta de tráfego. – Informações apresentadas: ● Timestamp ● Protocolo ● Endereço de Origem ● Endereço de Destino ● Tamanho do Pacotes ● Informações adicionais Análise Online ● Obtendo mais informações ● tcpdump -i eth0 -vv -e – Parametro '-e' ● Utilizado para visualizar o cabeçalho Ethernet – Parametros '-v', '-vv' e '-vvv' ● Utilizado para visualização de informações extras. – Flags TCP – Números de sequência (SEQ) e reconhecimento (ACK) – Tamanho de Janela TCP Análise Online ● Agilizando a coleta de pacotes ● tcpdump -i eth0 -n – Parâmetro '-n' ● Não tenta resolver os nomes de hosts (requisições DNS) ● Não tenta resolver nomes de protocolos e portas. Análise Online ● Inspeção de conteúdo ● Tcpdump -i eth0 -X – Parâmetro '-X' ● Payload é apresentado em hexadecimal e ASCII Análise Online ● Limitando o número de pacotes coletados ● tcpdump -i eth0 -c 100 – Parâmetro '-c' ● Número máximo de pacotes coletados
● Limitando o número de bytes coletados
● tcpdump -i eth0 -s 96 – Parâmetro '-s' ● Número máximo de bytes coletados em cada pacote Tcpdump ● Aplicando filtros ● Operadores para protolocos comuns – Exemplo: ip, tcp, udp, icmp, arp... ● Filtros são utilizados como expressões booleanas. – Operadores booleanos: And, Or, Not ● And ● Or ● Not Aplicando Filtros ● Exemplos ● Apenas tráfego ip – tcpdump -i eth0 ip ● Apenas tráfego de um determinado host – tcpdump -i eth0 host 192.168.1.1 ● Apenas tráfego de uma determinada origem – tcpdump -i eth0 src 192.168.1.1 ● Apenas tráfego de uma determinada rede – tcpdump -i eth0 net 192.168.0.0/24 Aplicando Filtros ● Exemplos (cont.) ● Apenas tráfego entre 2 hosts – tcpdump -i eth0 host 10.0.0.1 and host 10.0.0.2 ● Apenas tráfego de uma determinada porta – tcpdump -i eth0 port 80 ● Apenas tráfego de uma determinada porta de origem – Tcpdump -i eth0 src port 80 ● Apenas tráfego TCP de uma determinada porta – tcpdump -i eth0 tcp and port 8080 ● Análise Offline ● tcpdump -w coleta.pcap ● Parâmetro '-w path' – Escrevendo os pacotes coletados em arquivo. – Path: caminho para o arquivo de saída. ● tcpdump -r coleta.pcap ● Parâmetro '-r path' – Lendo um conjunto de pacotes previamente coletados – Path: caminho para o arquivo de entrada. Dúvidas ?