Tcpdump é uma poderosa ferramenta de depuração de rede que pode ser usada para interceptar e exibir pacotes em uma interface de rede. Uma característica importante do tcpdump é um filtro que permite exibir apenas os pacotes que deseja ver.

Instalação

Neste exemplo, estamos usando o Ubuntu 8.10, mas as etapas de instalação são semelhantes para outras distribuições do Linux. O comando a seguir instala tcpdump no Ubuntu:

sudo apt-get install tcpdump

Uso

sudo tcpdump [options] [filter expression]

Por padrão, tcpdump captura pacotes em eth0. Podemos especificar uma interface diferente usando o sinalizador da linha de comando -i . Este comando captura todos os pacotes na interface eth1:

sudo tcpdump -i eth1

No exemplo a seguir, iremos ouvir todas as conexões UDP:

sudo tcpdump udp

Use este comando para capturar pacotes para uma porta específica:

sudo tcpdump port 80

Nosso comando é retornar todos os pacotes que possuem a porta 80 como seu destino ou porta de origem.

Agora, vamos ser mais específicos e capturar apenas pacotes com a porta de destino 80. Se você tiver um servidor web na sua nuvem, você pode usar o comando abaixo para ver os pacotes recebidos.

sudo tcpdump dst port 80

Você também pode capturar pacotes para um host específico. Este comando captura pacotes que vêm apenas do IP 1.2.3.4:

sudo tcpdump src host 1.2.3.4

Tcpdump pode ter argumentos lógicos como, and também, or . Você pode usar instruções lógicas em um comando tcpdump. Por exemplo, este comando captura todos os pacotes SSH que vão de um servidor SSH para um cliente com IP 1.2.3.4:

sudo tcpdump "src port 22" and "dst host 1.2.3.4"

Os pacotes brutos podem ser guardados convenientemente em um arquivo usando a opção ‘-w’:

tcpdump host 1.2.3.4 -w /home/users/demo/demo.dump

Vamos ler o arquivo salvo:

tcpdump -r /home/users/demo/demo.dump

Resumo

Tcpdump é um poderoso sniffer de pacotes e uma ferramenta comum usada pelos administradores de sistema para resolver problemas de rede e investigar o tráfego. Ele pode ser usado com expressões booleanas para capturar apenas os pacotes que você está interessado.

Anúncios