Laboratório: Captura de pacotes com tcpdump

O tcpdump é um programa que permite capturar e analisar o tráfego de rede, e é executado a partir de um terminal. Por executar em um terminal, permite analisar tráfego em roteadores e outros dispositivos de rede a partir do acesso remoto (com SSH).

Em uma rede local, com os computadores conectados através de hubs ou switches, o tcpdump permite capturar todo o tráfego circulando.

Outro programa similar ao tcpdump é o wireshark, o qual dispõe de uma interface gráfica para facilitar a análise o tráfego de rede.

Instalação

Somente o administrador (usuário root) pode instalar o tcpdump.

Para instalar, digite o comando:

sudo apt-get install tcpdump

Captura de pacotes com tcpdump

A captura de pacotes em modo promíscuo, captura qualquer pacote circulando na rede local.

Somente o administrador (usuário root) pode executar o tcpdump.

sudo tcpdump

Sem o uso de filtros e parâmetros de ajuste, o tcpdump se capturara todo o tráfego do adaptador de rede selecionado, o que dificulta a análise dos pacotes.

As páginas de manual do tcpdump trazem informações detalhadas do uso deste comando:

man tcpdump

Exemplos de filtros comuns para uso com tcpdump

host

tcpdump host 200.17.101.9

Seleciona todos os pacotes cuja origem ou destino sejam o host especificado.

tcpdump host src 200.17.101.9 and dst 192.168.10.50

Seleciona os pacotes cuja origem e destino sejam os hosts especificados.

Protocolo

tcpdump host 200.17.101.9 and tcp

Seleciona todos os pacotes TCP cuja origem ou destino sejam o host especificado.

Porta

tcpdump port 80

Seleciona todo o tráfego Web

tcpdump host 200.17.101.9 and port 80

Seleciona o tráfego Web cuja origem ou destino sejam o host especificado.

--Evandro.cantu (discussão) 11h12min de 27 de março de 2015 (BRT)