Universidade Cidade de São Paulo – UNICID

Técnicas do TCPdumb

Paulo Henrique Gallo
RGM: 14033607
Polo: UNICID – Carrão
São Paulo – 2015

Quais são as características das técnicas do tcpdump
O tcpdump é uma ferramenta de analise e captura de informações e onde pode interceptar o tráfego de dados de um segmento de uma rede. Conforme o fluxo de dados trafega na rede, o tcpdum captura cada pacote, decodifica e analisa o conteúdo de acordo com o protocolo.
Outra característica dessa ferramenta é capaz de salva os dados dos pacotes para analise posterior, por linha de comando. Utiliza uma biblioteca especifica para captura de tráfego chamada de libpcap.
Quando tiver utilizando a ferramenta caso não coloque nenhuma parâmetro a mesma vai capturar todos os pacotes trafegados pela primeira interface de rede ativa e exibidos no terminal.
A sua saída exibe uma linha de texto, para cada pacote capturado. Esta linha mostra informações do pacote, mas não é o pacote em si. O pacote fica armazenado apenas em arquivos .pcap e binários. Dependendo do S.O, pode incluir pacotes que não passaram no filtro, ou que passaram, mas não foram processados, ou que passaram e foram processados.
Três comandos para executar a ferramenta TCPdump:
# tcpdump -nn -ni eth0 host 192.168.1.100
Assim, em qualquer pacote no qual o host 192.168.1.100 esteja envolvido (seja recebendo, seja enviando) o TCPDump irá capturar o pacote e exibí-lo. Mas, e se você só quisesse os pacotes destinados ao host 192.168.1.100? Usaria também o comando “src” assim:
# tcpdump -nn -ni eth0 dst host 192.168.1.100
Estas duas opções já diminuem muito a quantidade de pacotes capturados. Mas podemos ser ainda mais específicos. Por exemplo, usando port, dst port e src port podemos especificar também as portas. Assim, para capturar pacotes originados no host 192.168.1.100 com destino à porta 80 de qualquer outro host:

# tcpdump -nn -ni eth0 src host 192.168.1.100 or dst port 80
Bem simples, não? Para especificar um