Capa / Principal / Dicas / Tcpdump – Analisador de Tráfego de rede

tcpdump

Tcpdump – Analisador de Tráfego de redePostado por: Alan Oliveira 2 de janeiro de 2015 em Dicas, Tutoriais 1 Comentário

• Object 2

• Object 3

• Object 4

•

Tcpdump – Analisador de Tráfego de rede

É uma poderosa ferramenta que tem como finalidade sniffar, capturar os pacotes que passam por uma interface auxiliando na análises de sua rede. Também é capaz de analisar vulnerabilidades e ajudar a aplicar uma solução de contorno.Tcpdump é considerado uma das melhores ferramentas open source, é uma ferramenta simples mas exige um bom conhecimento em redes TCP/IP.

Instalação do Tcpdump:– No RedHat/CentOS:

#yum install tcpdump

– No Debian/Ubuntu:

#apt-get install tcpdump

Realizando o análise pelo tcpdump…Com esta ferramenta podemos realizar diversos tipos de análise, vamos mostrar alguns comandoscomo exemplo:

1. Analisar todo o tráfego que passa pela nossa interface de rede:

#tcpdump -i eth0

2. Analisar apenas a interface, muitas vezes não é uma tarefa fácil, podemos filtrar as conexão,como por exemplo a partir de um IP/HOST de origem (192.168.100.5):

#tcpdump -i eth0 src host 192.168.100.5

3. Também podemos monitorar as conexão especificando um host de destino:

Object 1

#tcpdump -i eth0 dst host 192.168.100.5

4. Podemos analisar todo tráfego, excluindo um host:

#tcpdump -i eth0 not host 192.168.100.5

5. Analisar os pacotes ICMP(ping):

#tcpdump -i eth0 icmp

6. Analisar os pacotes do host 192.168.100.5 apenas as portas 80 ou 443:

#tcpdump -i eth0 host 192.168.100.5 and port 80 or port 443

7. Filtrar broadcast na rede:

#tcpdump -i eth0 ip broadcast

8. Monitorando as conexões pela interface eth0 com origem do host 192.168.100.5 e comdestino o host 192.168.100.10, MENOS a porta 80 (HTTP):

#tcpdump -i eth0 src 192.168.100.5 and dst 192.168.100.10 and not port 80

9. Armazenar os pacotes capturados com tcpdump em um arquivo para futura análise:

#tcpdump -i eth0 src 192.168.100.5 and dst 192.168.100.10 and not port 80 -w /tmp/analise.pcap

10. Filtrar senhas não criptografadas que trafegam utilizando os serviços de e-mail e aplicaçãoweb:

#tcpdump -i eth0 port smtp or port imap or port pop3 or port http -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user'

Principais Flags do tcpdump que podem lhe auxiliar durante sua análise:

• -n: Não faz resolução de nomes de hosts e nem de portas, acelerando a exibição dos

resultados na tela (tempo real). • -N: Ao resolver nomes, não mostra o domínio do host.

• -v: Aumenta a quantidade de informações extraídas do cabeçalho do pacote.

• -vv: Idem ao anterior, com mais informações ainda.

• -vvv: Idem ao anterior, com mais informações.

• -t: Não mostra a data e a hora na tela.

• -tttt: Mostra a data e a hora utilizando o padrão yyyy-mm-dd hh:mm:ss.ssssss