Capturando trafego de rede com TCPDUMP – Parte 1 – Basico

Logo TCPDUMP
O tcpdump é um sniffer de rede muito comum em sistemas *nix, a função de um sniffer de rede é basicamente capturar os pacotes de rede que estão chegando e saindo de alguma interface a fim de prover alguma analise.
Com o tcpdump é possível inserir diversos filtros para captura, bem como usar ou não resolução de nomes/ip, limitar o tamanho da captura e ainda exportar para um arquivo esta captura.
Com o arquivo de captura em mãos é possível analisar ele melhor em algum aplicativo gráfico (como o wireshark) ou ainda reproduzir a captura com o tcpreplay.

capturar interface eth0 (-i)

1
tcpdump -i eth0

Para parar o sniffer use o bom e velho ctrl + c
capturar todas as interfaces (-i any)

1
tcpdump -i any

capturar sem resolução de nomes (-n)

1
tcpdump -ni eth0

capturar sem resolução de nome de portas (exemplo aparecer porta 80 ao invez de aparecer http) (-nn)

1
tcpdump -nni eth0

com mais detalhes (-v)

1
tcpdump -ni eth0 -v

com ainda mais detalhes (-vv)

1
tcpdump -ni eth0 -vv

Exibindo o pacote em Hexadecimal (-x)

1
tcpdump -ni eth0 -x

Exibindo o pacote em Hexadecimal e ASCII (-X)

1
tcpdump -ni eth0 -X

Exibindo o pacote apenas em ASCII

1
tcpdump -ni eth0 -A

Limitando a captura a 10 pacotes (-c)

1
tcpdump -ni eth0 -c 10

Sem mostrar tempo

1
tcpdump -ni eth0 -t

Mostrando tempo em forma de timestamp não formatado

1
tcpdump -ni eth0 -tt

Mostrando o tempo em timestamp delta (diferença entre eles)

1
tcpdump -ni eth0 -ttt

Mostrando o tempo com data e hora local

1
tcpdump -ni eth0 -tttt

Limitando o tamanho do pacote capturado a 100 bytes (-s 100)
uma observação sutil, a janela padrão de captura é de 96 bytes

1
tcpdump -ni eth0 -s 100

Tirando o limite do tamanho do pacote a capturar (-s 0)

1
tcpdump -ni eth0 -s 0

Salvar a captura para um arquivo (-w)

1
tcpdump -ni eth0 -w arquivo.pcap

Como a janela de captura padrão é de 96 bytes, o ideal é capturar sem limite, principalmente se for analisar depois.

1
tcpdump -ni eth0 -s 0 -w arquivo.pcap

Ler arquivo de captura (-r)

1
tcpdump -r arquivo.pcap

Por enquanto é só, em breve irei publicar o parte 2 – filtros!

One thought on “Capturando trafego de rede com TCPDUMP – Parte 1 – Basico

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *