Tcp Dump
-
Upload
jorge-miranda -
Category
Documents
-
view
218 -
download
1
description
Transcript of Tcp Dump
Capa / Principal / Dicas / Tcpdump – Analisador de Tráfego de rede
tcpdump
Tcpdump – Analisador de Tráfego de redePostado por: Alan Oliveira 2 de janeiro de 2015 em Dicas, Tutoriais 1 Comentário
• Object 2
• Object 3
• Object 4
•
Tcpdump – Analisador de Tráfego de rede
É uma poderosa ferramenta que tem como finalidade sniffar, capturar os pacotes que passam por uma interface auxiliando na análises de sua rede. Também é capaz de analisar vulnerabilidades e ajudar a aplicar uma solução de contorno.Tcpdump é considerado uma das melhores ferramentas open source, é uma ferramenta simples mas exige um bom conhecimento em redes TCP/IP.
Instalação do Tcpdump:– No RedHat/CentOS:
#yum install tcpdump
– No Debian/Ubuntu:
#apt-get install tcpdump
Realizando o análise pelo tcpdump…Com esta ferramenta podemos realizar diversos tipos de análise, vamos mostrar alguns comandoscomo exemplo:
1. Analisar todo o tráfego que passa pela nossa interface de rede:
#tcpdump -i eth0
2. Analisar apenas a interface, muitas vezes não é uma tarefa fácil, podemos filtrar as conexão,como por exemplo a partir de um IP/HOST de origem (192.168.100.5):
#tcpdump -i eth0 src host 192.168.100.5
3. Também podemos monitorar as conexão especificando um host de destino:
Object 1
#tcpdump -i eth0 dst host 192.168.100.5
4. Podemos analisar todo tráfego, excluindo um host:
#tcpdump -i eth0 not host 192.168.100.5
5. Analisar os pacotes ICMP(ping):
#tcpdump -i eth0 icmp
6. Analisar os pacotes do host 192.168.100.5 apenas as portas 80 ou 443:
#tcpdump -i eth0 host 192.168.100.5 and port 80 or port 443
7. Filtrar broadcast na rede:
#tcpdump -i eth0 ip broadcast
8. Monitorando as conexões pela interface eth0 com origem do host 192.168.100.5 e comdestino o host 192.168.100.10, MENOS a porta 80 (HTTP):
#tcpdump -i eth0 src 192.168.100.5 and dst 192.168.100.10 and not port 80
9. Armazenar os pacotes capturados com tcpdump em um arquivo para futura análise:
#tcpdump -i eth0 src 192.168.100.5 and dst 192.168.100.10 and not port 80 -w /tmp/analise.pcap
10. Filtrar senhas não criptografadas que trafegam utilizando os serviços de e-mail e aplicaçãoweb:
#tcpdump -i eth0 port smtp or port imap or port pop3 or port http -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user'
Principais Flags do tcpdump que podem lhe auxiliar durante sua análise:
• -n: Não faz resolução de nomes de hosts e nem de portas, acelerando a exibição dos
resultados na tela (tempo real). • -N: Ao resolver nomes, não mostra o domínio do host.
• -v: Aumenta a quantidade de informações extraídas do cabeçalho do pacote.
• -vv: Idem ao anterior, com mais informações ainda.
• -vvv: Idem ao anterior, com mais informações.
• -t: Não mostra a data e a hora na tela.
• -tttt: Mostra a data e a hora utilizando o padrão yyyy-mm-dd hh:mm:ss.ssssss