Portal Chamar Táxi

tcpdump – Apanhe tudo o que passa na rede (Parte 2)

Feraida

Feraida

GF Ouro
Membro Inactivo
Entrou
Fev 10, 2012
Mensagens
4,160
Gostos Recebidos
2

Para que se perceba tudo o que acontece e circula nas redes de dados é importante que se usem as ferramentas adequadas.

Uma das ferramentas mais populares nesse campo é, sem dúvida, o Wireshark. No Pplware já publicámos vários artigos a ensinar como usar, e até já mostrámos como podem “apanhar” passwords caso a comunicação não seja segura.

Além do Wireshark, o tcpdump é igualmente uma poderosa solução para quem necessita de analisar o tráfego que passa na rede. Depois de algumas noções básicas sobre o tcpdump (ver aqui), aqui fica a parte 2.
tcpdump_01_thumb.jpg
O tcpdump é uma ferramenta que permite “snifar” todo o tráfego que passa na rede de dados. Esta é uma ferramenta muito popular nos sistemas GNU/Linux mas está também disponível para Windows.
Como todos os sniffers, o tcpdump pode se usado para o bem (ex. detectar erros de comunicação), mas também para o mal (ex. capturar dados pessoais). Aqui ficam mais algumas dicas de como usar o tcpdump.
6) Capturar qualquer pacote com destino a uma porta específica
ex: Capturar todos os pacotes com destino ao porto 80 de uma qualquer máquina.
tcpdump –n dst port <porta>
tcpdump_6_thumb1.jpg
7) Capturar qualquer pacote com destino a uma máquina e porta específica
tcpdump –n “dst host <maquina>” and dst port <porta>
tcpdump_7_thumb.jpg
8) Capturar pacotes ARP
O protocolo ARP (Address Resolution Protocol – RFC 826) permite que um PC obtenha o endereço físico de uma máquina, usando o endereço IP (da máquina de destino) – Saber mais aqui. Para capturar pacotes ARP basta que use o seguinte comando:
tcpdump –v arp
tcpdump_8_thumb.jpg
9) Capturar apenas N pacotes
Para definir o número de pacotes a capturar, basta que use o parâmetro –c
tcpdump –c <numero pacotes> –i eth0
tcpdump_9_thumb.jpg
10) Capturar pacotes com um tamanho superior a um determinado valor
tcpdump –nn greater <tamanho>
Nota: Em vez de greater pode usar também o less para pacotes com tamanho inferior a um dado tamanho definido.
tcpdump_10_thumb.jpg
O tcpdump dá a possibilidade de conjugar os mais diversos parâmetros, permitindo que se obtenha o output pretendido. Caso queiram partilhar alguns filtros que considerem importantes basta que os coloquem nos comentários. Para quem quiser uma boa “cábula”, basta que carregue aqui.

In:pplware
 
Feraida

Feraida

GF Ouro
Membro Inactivo
Entrou
Fev 10, 2012
Mensagens
4,160
Gostos Recebidos
2
tcpdump – Apanhe tudo o que passa na rede(parteI)

Para que se perceba tudo o que acontece e circula nas redes de dados é importante que se usem as ferramentas adequadas. Uma das ferramentas mais populares nesse campo é sem dúvida o Wireshark. No Pplware já publicamos vários artigos a ensinar como usar, e até já mostramos como podem “apanhar” passwords caso a comunicação não seja segura.
Além do Wireshark, o tcpdump é igualmente uma poderosa solução para quem necessitar de analisar o tráfego que passa na rede.
tcpdump_6_thumb.jpg
O tcpdump é uma ferramenta que permite “snifar” todo o tráfego que passa na rede de dados. Esta é uma ferramenta muito popular nos sistemas GNU/Linux mas está também disponível para Windows. Como todos os sniffers, o tcpdump pode se usado para o bem (ex. detectar erros de comunicação),mas também para o mal (ex. capturar dados pessoais).
Como utilizar o tcpdump?
O tcpdump oferece ao utilizador as mais diversas opções. Hoje vamos ensinar como usar as funções básicas deste poderoso sniffer.
1) Especificar Interface
Para snifar o tráfego numa interface específica basta que use o comando:
tcpdump –i <interface>
tcpdump_1_thumb.jpg
2) Especificar uma porta
Para especificar uma determinada porta basta o comando o seguinte:
tcpdump port <porta>
tcpdump_2_thumb.jpg
3) Snifar as comunicações de uma determinada máquina
Caso pretenda filtrar o output de apenas uma máquina, deve usar o comando:
tcpdump host <IP/nome da máquina>
tcpdump_3_thumb.jpg
Nota: Caso pretendam indicar se a máquina é de origem ou de destino (da comunicação) basta que usem os parâmetros src ou dst, respectivamente.
tcpdump src 8.8.8.8 //máquina de origem
tcpdump dst 8.8.8.8 //máquina de destino
4) Snifar comunicações para uma rede específica
No caso de pretenderem snifar apenas a comunicação de uma determinada rede, o comando deverá ser a seguinte:
tcpdump net <rede>
tcpdump_4_thumb.jpg
5) Guardar output num ficheiro
Para guardar a captura num ficheiro basta que usem o parâmetro –w seguido do nome do ficheiro
tcpdump –i eth0 –w captura
Para ler o ficheiro deverão usar o parâmetro –r
tcpdump –r captura
tcpdump_5_thumb.jpg
Num próximo tutorial iremos partilhar mais alguns filtros. Como referido, o tcpdump dá a possibilidade de conjugar os mais diversos parâmetros, permitindo que se obtenha o output pretendido. Caso queiram partilhar alguns filtros que considerem importantes basta que os coloquem nos comentários.

In:pplware
 
Última edição:
Deves fazer login ou registrar-te para postar aqui.
Topo