Olá pessoal,

Para muitos o conteúdo do mesmo será ridiculamente básico (fácil), mas trabalhando na área de suporte técnico, vejo que meus clientes não sabem nem um pouco do que se passa em seu firewall.

Bom, vamos para o que interessa, segue a dica. Grato desde já e ansioso pelas críticas construtivas.

Um pouco sobre tcpdump

Aqui veremos alguns comando a serem usados para sniffar sua rede com firewall Linux.

Neste comando estamos sniffando a eth0 para um determinado host:

# tcpdump -i eth0 -qtNnn host 0.0.0.0

Neste comando estamos sniffando a eth0 para uma determinada porta:

# tcpdump -i eth0 -qtNnn port 110

Neste comando estamos sniffando a eth0 para recebimento de ping:

# tcpdump -i eth0 -qtNnn icmp

Neste comando estamos sniffando a eth0 para um destino especificado:

# tcpdump -i eth0 -qtNnn dst 0.0.0.0

Neste comando estamos sniffando a eth0 para uma origem especificada:

# tcpdump -i eth0 -qtNnn src 0.0.0.0

O comando tcpdump possui vários complementos os quais veremos agora.

Neste comando repare que acrescentamos "Xxx", esses parâmetros permitem que você abra o pacote que está sendo transmitido pelo host determinado:

# tcpdump -i eth0 -qtNnnXxx host 0.0.0.0

Neste comando estamos sniffando um determinado host falando na porta 3389 (Terminal Service):

# tcpdump -i eth0 -qtNnn host 0.0.0.0 and port 3389

No firewall ele nos permite realizarmos vários tipos de filtros e parâmetros, a seguir veremos um tcpdump com host, porta e exclusão de porta:

# tcpdump -i eth0 -qtNnn host 0.0.0.0 and port 25 and not port 3389

Bom, também podemos realizar tcpdump em determinadas portas e excluindo alguns hosts. Ex:

# tcpdump -i eth0 -qtNnn port 3389 and port 25 and port 110 and not port 443 and not port 3128 and not host 0.0.0.0 and not host 0.0.0.0

Bom, é isso aí, espero que tenha ajudado alguém que ainda não sabia de algo e para aqueles que já são doutores em tcpdump, espero que tenha relembrado algo que já não estava mais fresco na memória.

Caso tenham algum parâmetro no comando tcpdump, por favor, comentem.

Grato, Custelinha.

[1] Comentário enviado por kabalido em 26/07/2009 - 18:50h:

Primeiramente, parabéns pela Dica.

Não entendi muito bem esse ultimo exemplo. Acho sem sentido a parte da expressão "not port 443 and not port 3128". Se vc diz pro tcpdump pegar somente pacotes com portas 3389, 25 e 110 não vejo sentido pra vc dizer pra ele n pegar os pacotes com portas 443 e 3128. Entendeu?

Me corrijam se eu estiver errado.

É isso.

[2] Comentário enviado por custelinha em 27/07/2009 - 15:31h:

Olá caro amigo,

Desde já sou grato pelos parabéns.

Sim, de fato a expressão "not port 443 and not port 3128" não faz sentido, mas sim minha intenção era mostrar o que pode se fazer com o comando...

Realmente não pensei na parte lógica neste caso.

Irei corrigir caso sejá possível, afinal sou novo por aqui.


Atenciosamente,

Custelinha.