O tcpdump é um sniffer, muito conhecido entre sysadmins. Com ele você pode ver o que está acontecendo na sua rede em tempo real, analisando os pacotes que ele “fareja” .
O tcpdump utiliza o formato de arquivo libpcap, utilizado por vários outros sniffers o que permite você guardar uma análise de tráfego e posteriormente analisar com um sniffer mais amigável, como o Wireshark.
Uma observação importante é que o tcpdump deve ser executado com o usuário root, estaremos analisando o tráfego da interface de rede, tarefa que um usuário comum não pode fazer.
Vamos conhecer algumas opções do tcpdump:
# tcpdump [opções] [expressão]
| OPÇÃO |
DESCRICAO |
| -i <interface> |
Define a interface que você deseja sniffar, caso essa opção não seja definida, o tcpdump assume a primeira interface da sua máquina, geralmente a eth0. |
| -n |
Indica para o tcpdump que ele não deve resolver nomes ou converter números de portas para seus respectivos nomes de serviço. |
| -w <arquivo> |
Define o arquivo onde o tráfego capturado deve ser guardado |
| -r <arquivo> |
Especifica o arquivo de onde o tráfego deve ser lido. |
Com essas opções já dá para brincar...
Exemplos 1: Testando as opções
# tcpdump -i eth0 -w teste.dmp
Guarda todo tráfego capturado na interface de rede eth0 no arquivo teste.dmp
# tcpdump -n -w teste.dmp
Captura todo tráfego de rede da primeira interface disponível no arquivo teste.dmp sem resolver nomes.
# tcpdump -r teste.dmp
Exibe o tráfego de rede capturado e guardado no arquivo teste.dmp e exibe na saida padrão.
O tcpdump tem suporte a expressões, que permite gerar filtros poderosos na sua captura.
Exemplo: Definindo filtros
# tcpdump -i eth0 -n -w teste.dmp “port 22 and host 10.0.0.1″
Captura todo tráfego de rede na interface eth0, apenas de conexões ao host 10.0.01 na porta 22. Sem resolver nomes e escrevendo essa captura no arquivo teste.dmp.
# tcpdump -i eth0 -w teste.dmp “src host 10.0.0.92 and not port 22″
Escuta na interface eth0 todo tráfego de rede que tenha sido originado no host 10.0.0.92 e que não seja para a porta 22. Salvando esses dados no arquivo teste.dmp
Existem várias expressões de filtros que você pode utilizar, para saber mais sobre isso você pode consultar o manual do tcpdump.
Como eu falei no começo desse post, você pode pegar nosso arquivo com o tráfego e abrir com um sniffer mais amigável para analisar o tráfego. A tela abaixo eu abri o arquivo teste.dmp com o Wireshark.
Entender a saída do tráfego pode ser difícil para iniciantes, mas não tem formula mágica para entender, você vai precisar conhecer como funciona a pilha tcp/ip, os serviços de rede, depois de um tempo cada linha dessa se torna familiar. 
Se você está procurando um sniffer em modo texto, mais amigável que o tcpdump, dê uma olhada no iptraf.
Veja também:
É pessoal. Fui demitido… Bem, não só eu. Dos 400 funcionários da empresa onde trabalho ficaram apenas 90. As estatísticas aqui no distrito industrial de Manaus não são muito diferentes. A Honda, uma das maiores empresas do distrito demitiu mais de 4 mil funcionários. O grupo CCE já demitiu mais de 3 mil funcionários. Só para vocês terem uma idéia a divisão que produz os notebooks da CCE que trabalhavam com 9 linhas de produção, estão trabalhando só com uma. Ou seja, os notebooks CCE vão sumir do mercado.
Todo polo de duas rodas e eletro-eletrônicos estão bastante abalados. Empresas estão fechando, funcionários sendo demitidos, plano de produção caindo drasticamente… Lá na empresa tivemos um corte de mais de 60% da produção.
Manaus tem o segundo maior PIB do Brasil. O distrito industrial que move a economia local e tem grande participação na economia nacional. O clima está pesado em todos os lugares…
É complicado. Bom, a alguns meses atrás eu abri uma empresa, estou com alguns bons projetos e vou “tocá-los” pelos próximos meses. O nome da empresa e os projetos vou divulgando aqui no blog aos poucos. Mas fica a dica: vou trabalhar apenas com soluções Open Sources E sempre com Mandriva, é claro.
[update]Segundo o sindicato dos metalúrgicos, já foram mais de 14 mil demissões no distrito industrial.[/update]
Postado em: Linux, Mandriva
O Etherap é um programa que monitora redes em modo gráfico. Muito interessante para quem dá aula de redes e para quem está estudando protocolos e serviços. Com ele você pode ver como os protocolos e serviços se comportam saindo da teoria. O Etherape está disponível nos repositórios do Mandriva Linux e para instala-lo é só digitar no terminal:
# urpmi etherape
Quando você executar o etherape ele vai ficar “escutando” a interface de rede e já vai mostrar os hosts, suas ligações e os protocolos sob o qual eles estão conversando.
Vou mostrar alguns testes interessantes:
TESTE 1: Pingando meu Gateway.
$ ping 10.0.0.1
Observações:
- Entre meu host (10.0.0.92) e meu gateway (10.0.0.1) possui uma linha amarela. No lado esquerdo do programa possui uma legenda dos protocolos, no caso desse exemplo o protocolo em uso é o ICMP.
- Observe também a ligação entra meu host e meu servidor ntp b.ntp.br.
TESTE 2: Nmap, um portscan escandaloso
# nmap -sV 10.0.0.1
Observações:
- Observe como o nmap é “barulhento”. Com qualquer software de monitoramento você pode descobrir essa tentativa de portscan.
- Observe o número de protocolos ativados na legenda pelo nmap (eu contei, foram 77 protocolos)
TESTE 3: Replicação de DNS
Agora, o mais legal… olhem um servidor DNS atualizando sua base de dados de dominios assim que startado pela primeira vez.
É interessante ver graficamente como se comporta os serviços em modo gráfico, é uma forma mais didádica de ver acontecer o que os livros mostram em sniffers e logs de kernel.
« Older Entries
