quarta-feira , 20 de setembro de 2017
Últimos Posts
Capa / Principal / Dicas / Tcpdump – Analisador de Tráfego de rede
Tcpdump –  Analisador de Tráfego de rede
tcpdump

Tcpdump – Analisador de Tráfego de rede

Tcpdump – Analisador de Tráfego de rede

É uma poderosa ferramenta que tem como finalidade sniffar, capturar os pacotes que passam por uma interface auxiliando na análises de sua rede. Também é capaz de analisar vulnerabilidades e ajudar a aplicar uma solução de contorno.
Tcpdump é considerado uma das melhores ferramentas open source, é uma ferramenta simples mas exige um bom conhecimento em redes TCP/IP.

Instalação do Tcpdump:
– No RedHat/CentOS:

#yum install tcpdump

– No Debian/Ubuntu:

#apt-get install tcpdump

Realizando o análise pelo tcpdump…
Com esta ferramenta podemos realizar diversos tipos de análise, vamos mostrar alguns comandos como exemplo:

1. Analisar todo o tráfego que passa pela nossa interface de rede:

#tcpdump -i eth0

2. Analisar apenas a interface, muitas vezes não é uma tarefa fácil, podemos filtrar as conexão, como por exemplo a partir de um IP/HOST de origem (192.168.100.5):

#tcpdump -i eth0 src host 192.168.100.5

3. Também podemos monitorar as conexão especificando um host de destino:

#tcpdump -i eth0 dst host 192.168.100.5

4. Podemos analisar todo tráfego, excluindo um host:

#tcpdump -i eth0 not host 192.168.100.5

5. Analisar os pacotes ICMP(ping):

#tcpdump -i eth0 icmp

6. Analisar os pacotes do host 192.168.100.5 apenas as portas 80 ou 443:

#tcpdump -i eth0 host 192.168.100.5 and port 80 or port 443

7. Filtrar broadcast na rede:

#tcpdump -i eth0 ip broadcast

8. Monitorando as conexões pela interface eth0 com origem do host 192.168.100.5 e com destino o host 192.168.100.10, MENOS a porta 80 (HTTP):

#tcpdump -i eth0 src 192.168.100.5 and dst 192.168.100.10 and not port 80

9. Armazenar os pacotes capturados com tcpdump em um arquivo para futura análise:

#tcpdump -i eth0 src 192.168.100.5 and dst 192.168.100.10 and not port 80 -w /tmp/analise.pcap

10. Filtrar senhas não criptografadas que trafegam utilizando os serviços de e-mail e aplicação web:

#tcpdump -i eth0 port smtp or port imap or port pop3 or port http -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user'

Principais Flags do tcpdump que podem lhe auxiliar durante sua análise:

  • -n: Não faz resolução de nomes de hosts e nem de portas, acelerando a exibição dos resultados na tela (tempo real).
  • -N: Ao resolver nomes, não mostra o domínio do host.
  • -v: Aumenta a quantidade de informações extraídas do cabeçalho do pacote.
  • -vv: Idem ao anterior, com mais informações ainda.
  • -vvv: Idem ao anterior, com mais informações.
  • -t: Não mostra a data e a hora na tela.
  • -tttt: Mostra a data e a hora utilizando o padrão yyyy-mm-dd hh:mm:ss.ssssss

Vimos apenas alguns exemplos básicos utilizando o tcpdump a cima e chegamos a conclusão do quanto esta ferramenta é importante para detectar problemas na sua rede local e depurar o tráfego, dando ao administrador condições de entender melhor tudo que acontece na sua rede.

Precisa de ajuda para depurar sua rede local? Entre em contato conosco e solicite uma consultoria.

Tcpdump - Analisador de Tráfego de rede É uma poderosa ferramenta que tem como finalidade sniffar, capturar os pacotes que passam por uma interface auxiliando na análises de sua rede. Também é capaz de analisar vulnerabilidades e ajudar a aplicar uma solução de contorno. Tcpdump é considerado uma das melhores ferramentas open source, é uma ferramenta simples mas exige um bom conhecimento em redes TCP/IP. Instalação do Tcpdump: - No RedHat/CentOS: #yum install tcpdump - No Debian/Ubuntu: #apt-get install tcpdump Realizando o análise pelo tcpdump... Com esta ferramenta podemos realizar diversos tipos de análise, vamos mostrar alguns comandos como…

Review Overview

Score

Avalie

User Rating: Be the first one !
96

Sobre Alan Oliveira

Alan Oliveira
Bacharel em Sistemas de Informação, com Pós Graduação em Segurança de Redes e Sistemas. Trabalho como Analista de Suporte há 8 anos. Certificação Itil, LPIC-3, ISO/IEC 27002, ISO/IEC 20000, CompTIA Security+ e RHCE (Red Hat Certified Engineer).

Um comentário

Deixe uma resposta

O seu endereço de email não será publicado. Required fields are marked *

*

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>