Exemplos de uso do tcpdump
Dica publicada em Linux / Introdução
Exemplos de uso do tcpdump
Olá pessoal,
Para muitos o conteúdo do mesmo será ridiculamente básico (fácil), mas trabalhando na área de suporte técnico, vejo que meus clientes não sabem nem um pouco do que se passa em seu firewall.
Bom, vamos para o que interessa, segue a dica. Grato desde já e ansioso pelas críticas construtivas.
Neste comando estamos sniffando a eth0 para um determinado host:
# tcpdump -i eth0 -qtNnn host 0.0.0.0
Neste comando estamos sniffando a eth0 para uma determinada porta:
# tcpdump -i eth0 -qtNnn port 110
Neste comando estamos sniffando a eth0 para recebimento de ping:
# tcpdump -i eth0 -qtNnn icmp
Neste comando estamos sniffando a eth0 para um destino especificado:
# tcpdump -i eth0 -qtNnn dst 0.0.0.0
Neste comando estamos sniffando a eth0 para uma origem especificada:
# tcpdump -i eth0 -qtNnn src 0.0.0.0
O comando tcpdump possui vários complementos os quais veremos agora.
Neste comando repare que acrescentamos "Xxx", esses parâmetros permitem que você abra o pacote que está sendo transmitido pelo host determinado:
# tcpdump -i eth0 -qtNnnXxx host 0.0.0.0
Neste comando estamos sniffando um determinado host falando na porta 3389 (Terminal Service):
# tcpdump -i eth0 -qtNnn host 0.0.0.0 and port 3389
No firewall ele nos permite realizarmos vários tipos de filtros e parâmetros, a seguir veremos um tcpdump com host, porta e exclusão de porta:
# tcpdump -i eth0 -qtNnn host 0.0.0.0 and port 25 and not port 3389
Bom, também podemos realizar tcpdump em determinadas portas e excluindo alguns hosts. Ex:
# tcpdump -i eth0 -qtNnn port 3389 and port 25 and port 110 and not port 443 and not port 3128 and not host 0.0.0.0 and not host 0.0.0.0
Bom, é isso aí, espero que tenha ajudado alguém que ainda não sabia de algo e para aqueles que já são doutores em tcpdump, espero que tenha relembrado algo que já não estava mais fresco na memória.
Caso tenham algum parâmetro no comando tcpdump, por favor, comentem.
Grato, Custelinha.
Para muitos o conteúdo do mesmo será ridiculamente básico (fácil), mas trabalhando na área de suporte técnico, vejo que meus clientes não sabem nem um pouco do que se passa em seu firewall.
Bom, vamos para o que interessa, segue a dica. Grato desde já e ansioso pelas críticas construtivas.
Um pouco sobre tcpdump
Aqui veremos alguns comando a serem usados para sniffar sua rede com firewall Linux.Neste comando estamos sniffando a eth0 para um determinado host:
# tcpdump -i eth0 -qtNnn host 0.0.0.0
Neste comando estamos sniffando a eth0 para uma determinada porta:
# tcpdump -i eth0 -qtNnn port 110
Neste comando estamos sniffando a eth0 para recebimento de ping:
# tcpdump -i eth0 -qtNnn icmp
Neste comando estamos sniffando a eth0 para um destino especificado:
# tcpdump -i eth0 -qtNnn dst 0.0.0.0
Neste comando estamos sniffando a eth0 para uma origem especificada:
# tcpdump -i eth0 -qtNnn src 0.0.0.0
O comando tcpdump possui vários complementos os quais veremos agora.
Neste comando repare que acrescentamos "Xxx", esses parâmetros permitem que você abra o pacote que está sendo transmitido pelo host determinado:
# tcpdump -i eth0 -qtNnnXxx host 0.0.0.0
Neste comando estamos sniffando um determinado host falando na porta 3389 (Terminal Service):
# tcpdump -i eth0 -qtNnn host 0.0.0.0 and port 3389
No firewall ele nos permite realizarmos vários tipos de filtros e parâmetros, a seguir veremos um tcpdump com host, porta e exclusão de porta:
# tcpdump -i eth0 -qtNnn host 0.0.0.0 and port 25 and not port 3389
Bom, também podemos realizar tcpdump em determinadas portas e excluindo alguns hosts. Ex:
# tcpdump -i eth0 -qtNnn port 3389 and port 25 and port 110 and not port 443 and not port 3128 and not host 0.0.0.0 and not host 0.0.0.0
Bom, é isso aí, espero que tenha ajudado alguém que ainda não sabia de algo e para aqueles que já são doutores em tcpdump, espero que tenha relembrado algo que já não estava mais fresco na memória.
Caso tenham algum parâmetro no comando tcpdump, por favor, comentem.
Grato, Custelinha.
Não entendi muito bem esse ultimo exemplo. Acho sem sentido a parte da expressão "not port 443 and not port 3128". Se vc diz pro tcpdump pegar somente pacotes com portas 3389, 25 e 110 não vejo sentido pra vc dizer pra ele n pegar os pacotes com portas 443 e 3128. Entendeu?
Me corrijam se eu estiver errado.
É isso.