Utilizando o tcpdump e o wireshark | Evaldo Junior :: InFog http://evaldojunior.com.br/blog/2007/08/utilizando-o-tc...

Evaldo Junior :: InFog

Desenvolvimento WEB, Open Source,
GNU/Linux e Nerdices em Geral

Utilizando o tcpdump e o wireshark

Publicado em por InFog

Monitorar o tráfego de rede é algo fundamental para a solução de problemas. Um programa muito bom para fazer
isso é o tcpdump. O tcpdump é um conhecido sniffer do mundo GNU/Linux, um sniffer é um programa que faz
com que a placa de rede entre em “modo promíscuo” e capture todos os pacotes (da rede) que chegem até a
máquina, independentes de serem para ela ou não, sejam “aceitos”, com isso ele gera uma saída, no terminal ou
em um arquivo de texto, que pode ser analisada.

O tcpdump também permite o uso de filtros como “de tal ip”, “para porta x”, “protocolo x”. Lembrando que o
tcpdump deve ser executado como root.

Bom deixe-me mostrar a sintaxe básica, depois algo mais refinado. Com um comando tipo esse:

# tcpdump -i eth0

Você terá a lista de pacotes passando por sua interface eth0. Entender a saída do programa não é muito
confortável no começo, exige uma boa leitura do manual do tcpdump e também conhecimento do tcp. Mas
basicamente é algo como:

origem.porta > destino.porta: flags (nº sequência de dados) …

Eu realmente recomendo uma boa lida no manual do tcpdump se você quiser endenter cada detalhe da saída.

O parâmetro -i pode receber também a opção any que faz o tcpdump capturar pacotes em todas as suas interfaces
de rede.

As principais opções de filtro no tcpdump são:

-n : Não faz a resolução dos nomes, mantendo origem, destino e porta como números.

host : Define um host específico, pode ser um ip ou um nome.

src : Define o host origem, pode ser ip ou nome.

dst : Define o host destino, pode ser ip ou nome.

-w : Escreve a saída em um arquivo, o nome do arquivo deve ser fornecido.

-r : Lê o tráfego que foi armazenado em um arquivo, nesse caso não é necessário ser root.

-s : Define, em bytes, o tamanho máximo dos pacotes que serão capturados. O padrão são 68 bytes que são

1 de 5 02-10-2013 13:55
Utilizando o tcpdump e o wireshark | Evaldo Junior :: InFog http://evaldojunior.com.br/blog/2007/08/utilizando-o-tc...

suficientes para alguns protocolo, mas pode truncar (não capturar completamente) um pacote. Um bom número
para ser definido é 1000.

Com essas opções já dá para fazer muita coisa. Volto a dizer que uma lida no manual do tcpdump pode enriquecer
muito o seu conhecimento.

Vamos a mais exemplos:

# tcpdump -i eth0 -n host 192.168.1.1

Captura todos os pacotes destinados ou com origem em 192.168.1.1 sem resolver nomes.

# tcpdump -i eth0 -s 1000 src 192.168.1.1

Captura todos os pacotes com origem em 192.168.1.1 resolvendo nomes e gravando até 1000 bytes de cada
pacote.

# tcpdump -i eth0 -w trafego.cap

Captura todo o tráfego na eth0 e escreve a saída no arquivo trafego.cap

$ tcpdump -r trafego.cap

Lê o tráfego gravado em trafego.cap

Como mostrado nesse último exemplo o tcpdump também lê os arquivos gerados, isso é muito útil quando você
precisa analisar os dados com mais cuidado, ou guardá-los para uma análise posterior.

Uma outra maneira de “ler” esse tráfego é com o Wireshark, esse é um outro sniffer (multiplataforma) bastante
utilizado. O Wireshark é capaz de ler os arquivos gerados pelo tcpdump, mas com algumas vantagens como um
filtro e cores para os tipos de pacotes.

Aqui está o wireshark em ação:

Com essas ferramentas em mãos você pode resolver problemas de conexão (ou falta dela) e outros mais. Para
maiores informações leia os manuais de cada aplicação.

InFog

2 de 5 02-10-2013 13:55
Utilizando o tcpdump e o wireshark | Evaldo Junior :: InFog http://evaldojunior.com.br/blog/2007/08/utilizando-o-tc...

Outros textos que você pode gostar:

1. SSH Sem Senha e Suas Facilidades Administrativas Olá pessoal, um recurso muito interessante do SSH é a...
2. Drops Aptitude 0 – Gerenciamento de Pacotes Debian Você conhece o Aptitude? Quer conhecer um pouco mais da...
3. Drops Aptitude 0.1 Olá, bem vindo ao Drops Aptitude 0.1, nesta versão vou...

Related posts brought to you by Yet Another Related Posts Plugin.

Esta entrada foi publicada em Administração, Redes e marcada com a tag Administração, Redes. Adicione o link permanente aos seus favoritos.

12 respostas a Utilizando o tcpdump e o wireshark

Diego Souza disse:

às

Parabéns, postagem muito boa! Eu conheço o tcpdump só de nome, quando for testar vou voltar aki pra ler denovo e ganhar
tempo

[]‘s.
Responder

Mauricio disse:
às

opa, muito boa postagem, kra vc conhece alguma ferramenta para monitoramento de chat via http!?? tipo como temos para
msn’s!!! Desde ja Muito obrigado!!
Responder

Pingback: Top Posts « WordPress.com

Henrique-jdn-ce-br disse:
às

Muito bom este artigo, vou estuda-lo e ver como funcina numa rede wireless,
parabens pela pagina que estar bem degustavel para os olhos e é claro pelo artigo
valeu cara………

3 de 5 02-10-2013 13:55
Utilizando o tcpdump e o wireshark | Evaldo Junior :: InFog http://evaldojunior.com.br/blog/2007/08/utilizando-o-tc...

Responder

infog disse:
às

Diego, quando precisar apareça por aqui!

Maurício, cara eu sei que existe o imsniff para o msn.

Henrique, que bom que tenha gostado da página =) Volte sempre e indique para os amigos.

InFog
Responder

atmj disse:
às

Grande dica amigo, seu blog é muito útil!!

Um abraço!
Responder

Vitorio disse:
às

Olá boa noite…

Estou fazendo um trabalho de TCPDUMP, se alguém tiver algum material

por favor mandem no e-mail vicente.portas@gmail.com
Responder

rafael de souza santana disse:

às

oi pra todos…….. queria saber como utiliza o wiresharck?

se alquem souber me avisa vlwssssss

me manda um email. rafaelsouza_21@hotmail.com

Responder

Mateus disse:
às

Nele nao aparece interface intao nao tem como eu usar ele
ajudaaa

MSN mateusgf@hotmail.com
Responder

4 de 5 02-10-2013 13:55
Utilizando o tcpdump e o wireshark | Evaldo Junior :: InFog http://evaldojunior.com.br/blog/2007/08/utilizando-o-tc...

Slackmaster disse:
às

Show de bola o artigo!

Responder

VonNaturAustreVe disse:
às

Neste link: http://0fx66.com/blog/linux/conhecendo-o-tcpdump/ também tem bastante dicas para o uso do tcpump.

[]‘s
Responder

Diego disse:
às

Gostei do artigo! To precisando fazer um programa que identifica um determinado dado da rede.
Ex: Se for enviado um pacote com a palavra ‘internet’ eu desejo saber qual a origem, o destino e a hora que esse dado foi
enviado. Salvando eles emum arquivo.
Tem algum comando que eu uso para fazer essa identificaçao?
Valeu!
Responder

Evaldo Junior :: InFog

Orgulhosamente criado com WordPress.

This blog is protected by Dave's Spam Karma 2: 19554 Spams eaten and counting...

5 de 5 02-10-2013 13:55