GLAUCO SALINO DA CUNHA ARAUJO tcpdump • Excelente analisador de tráfego em modo texto; • Mostra conexões estabelecidas e o tráfego correspondente; • Devido a sua riqueza de informações impressas na tela, requer grande conhecimento em redes para que se possa analisar o tráfego formado; • Excelente para realizar análise profunda do tráfego na rede; • O wireshark é uma interface mais “amigável” que executa sobre o tcpdump para realização de análise de pacotes IP. tcpdump • Supondo dois hosts com os seguintes endereços IPs reservados tcpdump • Supondo o comando seguinte executado em tester1 para server1 • [glauco@tester1 ~]$ ping 192.168.230.134
• Executando o comando seguinte em server1
• [root@server1 ~]# tcpdump -ni ens33
• O seguinte seria impresso na tela
tcpdump tcpdump • Basicamente observa-se o seguinte; • A chave –n é utilizada para não haver resolução de nomes para o endereço IP; • A chave –i restringe a interface que se deseja monitorar o tráfego; • A resposta exibe o tree way hand shake do protocolo HTTP e os pacotes sendo recebidos para a comunicação ICMP; • Além de uma conexão iciada com um endereço válido na Internet: o endereço IP 131.255.105.11. tcpdump • É possível verificar a porta do protocolo TCP na qual o Host que inicia a conexão seleciona (porta alta); • A janela deslizante; • A segmentação do pacote; • Em suma, como dito, o comando tcpdump exibe uma riqueza de informações que requerem grande conhecimento em redes para que se possa analisar o tráfego formado; • Comando #1 em utilidade e em dificuldade de assimilação para um administrador de redes. dig • Realiza pesquisas em servidores DNS; • Caso não exista imposição do servidor DNS a ser utilizado na pesquisa, o sistema trabalhará com os existentes em /etc/resolv.conf; • Para verificar endereços IP, deve-se usar a chave –x. dig dig dig • dig mx <<domínio>> retorna impresso na tela quem são os servidores MX (Mail Exchange - SMTP) do domínio informado; • dig ns <<domínio>> retorna impresso na tela quem são os servidores ns (DNS) do domínio informado; • dig soa <<domínio>> retorna impresso na tela quem é o DNS principal além de outros dados do domínio informado; • Requer conhecimento de redes para melhor compreensão da busca; • Comando #2 em utilidade e em dificuldade de assimilação para um administrador de redes. route • Edita tabela de roteamento de rede (roteamento estático); • Caso a máquina seja desligada ou os adaptadores de rede sejam retirados do ar (ifdown ens33), as rotas serão perdidas; • route –n retorna tela a tabela de roteamento sem resolver nomes de host, o que faz a exibição ser mais rápida me alguns casos; • route add default gw <<endereço IP>> estabelece o gateway padrão para a estação; • route del default gw <<endereço IP>> remove o gateway padrão. route • O comando abaixo exibe a tabela de roteamento do servidor abaixo;
• Uma série de outras opções podem ser exploradas ao se consultar a man
page ou –h ou –help; • Com route é possível estabelecer rotas específicas para roteamento a endereços de redes ou endereços IP de máquinas específicas; • Comando #3 em utilidade e em dificuldade de assimilação para um administrador de redes. Ip route • O comando route foi descontinuado, apesar de ainda ser muito utilizado nas distribuições Linux; • Em sua substituição, ip route é o comando indicado para algumas das novas distribuições Linux mais recentes;
• É possível notar que o resultado impresso em tela é o mesmo, porém com
diferente forma de exibição; • Comando #4 em utilidade e em dificuldade de assimilação para um administrador de redes. mtr • O comando mtr combina as funcionalidades dos comandos traceroute e ping em uma única ferramenta de diagnóstico de rede; • Ao iniciar, o programa mtr investiga a conexão de rede entre o computador no qual está sendo executado e um computador de destino; • Após determinar o endereço de cada nó intermediário entre as máquinas, ele envia uma sequência de solicitações do tipo ICMP ECHO para cada um deles para determinar a qualidade do link a cada máquina na rota; • Ao fazer isto, são impressas estatísticas para cada um dos hops. mtr
• Comando #5 em utilidade para um administrador de redes.
ss • Comando que substituiu o descontinuado comando netsat para exibir conexões de rede; • Com a correta combinação de chaves ele exibe as conexões (sockets) para as portas TCP e UDP que estão “ouvindo” na estação “alvo”. ss ss • -a solicita que seja impresso em tela todos as conexões de rede; • -4 solicita que seja impresso resultado para endereços IPv4; • -t solicita que seja impresso resultado para conexões TCP; • -u solicita que seja impresso resultado para conexões TCP; • -p solicitaria ainda que fosse impresso o PID (ID do processo em execução). • Comando #6 em utilidade para um administrador de redes. iptraf • Fornece dados referentes ao tráfego de rede como conexões ativas, portas em uso, velocidade de fluxo de dados nos adaptadores de rede, entre outras (pitraf –h ou –help para exibir opções disponíveis); • permite acompanhar em tempo real o que está acontecendo em um servidor por exemplo; Iptraf-ng – opções disponíveis para análise Iptraf-ng – opção ‘s’ iptraf – opção ‘D’, selecionando interface ens33 Iptraf-ng – selecionando por tamanho de pacote iptraf-ng • Há uma série de outras opções a serem exploradas mediante o comando iptraf-ng; • A navegação no Menu de opções é simples e intuitiva; • A visualização para a análise do tráfico revela uma série de informações que carecem de conhecimentos de redes de computadores para uma adequada compreensão e decisão de condutas a serem tomadas; • Trata-se de uma feramente de grande valor; • Comando #7 em utilidade para um administrador de redes.