Artigo > Seis formas prĂ¡ticas de uso do TCPDump

2707 ViewsTempo de Leitura: 1.46 mintue O TCPDump Ă© um comando extremamente eficaz para verificaĂ§Ă£o do trĂ¡fego de pacotes na […]

2016/04/05
2708 Views
Tempo de Leitura: 1.46 mintue

O TCPDump Ă© um comando extremamente eficaz para verificaĂ§Ă£o do trĂ¡fego de pacotes na rede de sistemas Linux.

Vou compartilhar aqui as formas mais utilizadas, ou pelo menos as que mais utilizo.

1 – Especificando uma interface de rede:

tcpdump -i eth1

Por padrĂ£o, o TCPDump vai “ouvir” somente a interface principal do sistema. Portanto, caso necessite verificar o trĂ¡fego em outra interface, utilize o parĂ¢metro “-i“.

Outro parĂ¢metro muito importante nesse sentido Ă© o “-i any” (`tcpdump -i any`). Com ele podemos “ouvir” todas interfaces de uma sĂ³ vez.

2 – Especificando um host:

tcpdump host ldap.google.com

Podemos verificar se hĂ¡ trĂ¡fego de/para um determinado host com o parĂ¢metro “host” seguido do host que queremos verificar.

Desta forma verificamos tanto o host de entrada quanto de saĂ­da.

3 – Especificando um endereço IP:

O parĂ¢metro “host” tambĂ©m pode ser utilizado para determinarmos endereços IP. Para isso, o utilizamos com o parĂ¢metro “-n” (`-n host`). Sem ele, o comando nĂ£o “resolverĂ¡” o host em endereço IP.

4 – Especificando origem e destino

Origem:

tcpdump -n src host 192.168.0.100

Utilizando o parĂ¢metro “src” filtro apenas pelo trĂ¡fego de origem de um host.

Destino:

tcpdump -n dst host 192.168.0.100

Com “dst” filtro apenas o trĂ¡fego de destino. No caso, o destino serĂ¡ o host especificado.

5 – Especificando a porta.

tcpdump dst port 443

No exemplo acima, mais uma vez, utilizamos o parĂ¢metro “dst“, porĂ©m seguido de “port 443“. Ou seja, estou filtrando pela porta de destino 443. Se acaso queiramos filtrar o trĂ¡fego de entrada na mesma porta, basta substituir o “dst” por “src“.

6 – Concatenando parĂ¢metros

Podemos juntar parĂ¢metros no TCPDump com “and” ou “or“. Exemplo:

tcpdump -n host 192.168.0.100 and dst port 80 or dst port 8080

Agora jĂ¡ estĂ¡ tudo bem mais claro, nĂ£o? No exemplo anterior estou filtrando pelo host 192.168.0.100 cujo a porta de destino Ă© a “80” ou “8080“.

ConclusĂ£o

O TCPDump serve para muitas outras coisas, mas como Sysadmin Linux, essas sĂ£o as formas que o mais utilizo.

Muito Ăºtil para diagnĂ³sticos, o TCPDump estĂ¡ disponĂ­vel nas melhores distribuições Linux.

Abraço!

2 - 0

Thank You For Your Vote!

Sorry You have Already Voted!

Rolar para cima