» Menu

» Últimos artigos

Kernel atualizado no Debian - Parte II Kernel atualizado no Debian - Parte I Enlightenment no Debian Squeeze e no Ubuntu Apresentando Cinnamon Blender para todos! - Parte I VPN - usando SSH

» Últimas dicas

Android 2.2 / 2.3 - Atualização no dispositivo Milestone Placa Wireless - Configuração no Notebook LG R410 Ralink RT3090 Wireless 802.11n 1T/1R PCIe no Slackware 13.37 Compiz no Linux Mint 12 - modo clássico Erro no Aireplay-ng : mon0 is on channel -1, but the AP uses channel X LibreOffice Writer - Do básico ao avançado Tela sensível ao toque - ativar e desativar Grub - Alterar ordem de Boot entre Windows e Linux

» Segurança Linux

[Dica] Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! [Artigo] samhain - verificador de integridade de filesystem [Notícia] pfSense 2 Cookbook [Dica] T50 Experimental Packet Injector Tool [Artigo] Honeypot: Aprendendo com o intruso [Notícia] Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux. [Notícia] curso de Pentest Hands On aqui em SP

» Últimos scripts

[Shell-Script] Criador de Hard Link em massa [Shell-Script] Fedora 16: Passos essenciais [Python] Desenha poligonos [Python] Desenha uma elipse [C/C++] Conversor de ENEM para UFMG

Treinamento Zope Plone

[Como anunciar?]

» Destaques

06/02 - Ciclo de Palestras Software Livre do SINDPD-RJ - ENTRADA FRANC... (2) 01/02 - Oficina de Scanning e Análise em Vulnerabilida... Openvas4 (gr... (2) SOPA e PIPA, entenda! (14) Programador PHP - Rio de Janeiro (0) Oportunidade para Analista de Infra-Estrutura (2) 24/03 - VOL DAY III - Chamada de trabalhos (Niterói/RJ) (1)

» Screenshot

Por andersonbarroso

» Login

» Top 10 usuários

6259633: Fábio Berbert de Paula 5421925: Alessandro de Oliveira Faria (A.K.A. CABELO) 2522917: Davidson Rodrigues Paulo 2512901: Elgio Schlemer 2325351: Xerxes Lins 2313704: Jefferson Estanislau da Silva 2240263: Percival F. Jr. 2091151: Cicero Juliao da Silva Junior 1924962: Thiago Alves 1892771: André L. (pinduvoz)

» Perguntas

Software de WEB DESIGN (2) Repartição (0) Kopete não conecta (7) Autoremove no debian (1) Problemas com porta 3306 (26) Instalação do PHP (5) Cacic (3) Script Para Monitorar Redes... Ajuda!! [RESOLVIDO] (7)

» .Conf

[X11] xorg.conf - Configuração "1440x900" para Virtual... [APT, APTITUDE] sources.list - sources.list personalizado para o Debian SID/Unstable. [X11] xorg.conf - Xorg emergencial [xorg] xorg.conf - xorg.conf da NVIDIA GeForce 310M / GT 425M [Samba] smb.conf - Arquivo de configuração do Samba

Dica

tcpdump: Monitorando conexões

Publicado por Leandro Nascimento Souza em 11/04/2007

Login: spikey, 168873 pontos | Blog: http://www.forumdebian.com.br

[ Hits: 82959 ]

Denuncie + Favoritos

Versão para impressora

Indicar para um amigo

Enviar dica

tcpdump: Monitorando conexões

O tcpdump é um dos mais, se não o mais "famoso" sniffer para sistemas GNU/Linux. Com ele podemos realizar análises de redes e solucionar problemas. Sua utilização é simples e sem mistérios, bastando apenas ter os conhecimentos básicos de redes TCP/IP. Esta dica é apenas uma introdução deste sniffer, maiores informações e documentação à seu respeito podem ser encontradas em seu site oficial:

http://www.tcpdump.org

A instalação do tcpdump em sistemas Debian é super simples, bastando executar o comando abaixo como super usuário (root):

# apt-get install tcpdump

Para iniciarmos a utilização do tcpdump precisamos especificar a interface de rede que queremos analisar com o parâmetro -i seguido da interface desejada, por exemplo, se quisermos analisar todo o tráfego que passa pela interface eth0, executaríamos a seguinte linha de comando:

# tcpdump -i eth0

Conexões de origem podem ser monitoradas utilizando o parâmetro src host, um exemplo simples seria monitorarmos o tráfego que vem de 192.168.0.9 para nosso computador, com o ip 192.168.0.2. A linha de comando ficaria da seguinte forma:

# tcpdump -i eth0 src host 192.168.0.9

Se quisermos monitorar as conexões especificando um host de destino, poderíamos fazê-lo com o parâmetro dst host, o exemplo abaixo mostra todo o tráfego do host 192.168.0.2 com 192.168.0.1, no caso, 192.168.0.1 é nosso gateway.

# tcpdump -i eth0 dst host 192.168.0.1

Com tcpdump também podemos especificar exceções com o parâmetro not host, por exemplo, em nosso servidor queremos ver todo o tráfego que se passa em sua interface, exceto o de 192.168.0.8, faríamos da seguinte forma:

# tcpdump -i eth0 not host 192.168.0.9

No tcpdump podemos também especificar portas de origem e destino com os comandos src port e dst port, um exemplo seria monitorarmos o tráfego destinado à porta 80 (http), para isso utilizaríamos a linha de comandos abaixo e navegaríamos em um site qualquer:

# tcpdump -i eth0 dst port 80

Para verificarmos o tráfego da porta de origem 32881 por exemplo, faríamos da seguinte forma:

# tcpdump -i eth0 src port 32881

Muitas opções avançadas podem ser obtidas com o tcpdump, essas são algumas opções básicas, porém fundamentais para quem quer aprender sobre sniffers.

Outras dicas deste autor

Monitorando seu Web Server de forma fácil

Conectividade Social - Mais uma alternativa (regras de iptables)

lsof - Pequeno guia de referência

Obtendo informações sobre dispositivos

Autenticação no Apache2

Leitura recomendada

Fazendo o wireless do laptop Acer Aspire 5040/5043 funcionar com Linux

Angel Network Monitor

BIOS sem opção de boot pelo CD-ROM

Gmanedit - Editando, criando e contribuindo com documentação

VM900M da gigabite X SuSE

Comentários

[1] Comentário enviado por removido em 16/08/2007 - 04:21h:

Leadro,

Parabéns pelo artigo! Simples e objetivo!

Atenciosamente,

Slackmaster (jlgomessouza@gmail.com.br)

http://dangercode.blogspot.com

[2] Comentário enviado por jakson_kiko em 29/08/2007 - 14:21h:

cara muito massa o artigo, me ajudo um monte!!!!!

[3] Comentário enviado por andrei_scaratti em 24/11/2007 - 11:18h:

Muito bom.. Estou estudando a fundo esse utilitário que é muito util em redes de computadores.

[4] Comentário enviado por marcos.sf em 11/04/2008 - 13:03h:

para filtrar e criar um log usando o tcpdump :)

tcpdump -v -i eth0 src host 192.168.xx..xxx | grep palavra_chave > /home/nome.txt

[5] Comentário enviado por albertoaalmeida em 07/01/2009 - 09:52h:

Simples e prático.

Parabéns..

Muito bom..

Alberto Almeida
www.albertoalmeida.blogspot.com

[6] Comentário enviado por nunesdutra em 17/07/2009 - 16:49h:

Muito bom!!!

Filtrando por IPs.

tcpdump -i eth0 |grep 192.168.xxx.xxx

Vlw!

[7] Comentário enviado por Nander em 22/07/2010 - 01:52h:

Mais uma Contribuição:

tcpdump -i any -Aavv -w ARQUIVO_LOG, onde:

-i any = Pega todo o Tráfego de Todas as interfaces

-Aavv = Detalhamento das conexões

-w ARQUIVO_LOG = w de write, Grava um Arquivo de LOG que não é Legível por editores de Texto.

Para Ler o Arquivo basta digitar:

tcpdump -i any -Aavv -r ARQUIVO_LOG | less

onde o -r é de READ para ler e nele vc pode aplicar os Filtros no proprio log como:

tcpdump -i any -Aavv tcp port 80 and host 192.168.0.1 -r ARQUIVO_LOG | less

Att

Ernander

[8] Comentário enviado por maurotopa em 08/12/2010 - 11:47h:

cara show de bola, sou iniciante ajudou 100% , valeu

vivaolinux = 1000%
pessoal = 1000%

[9] Comentário enviado por rodrigo.a.sc em 17/11/2011 - 01:27h:

Boa,
Bem eu gostaria de uma analise por rede, por exemplo toda a conectividade que vai para a rede 10.0.0.1/24 eu pego os dados.
Algma opção ??

O que fiz foi
tcpdump -i any dst 192.168.1
no output me deu resultados como :
IP 10.150.1.111.3389 > 192.168.1.70.30596
No caso é uma aplicação ipsec rodando.

Responsável pelo site: Fábio Berbert de Paula - Conteúdo distribuído sob licença GNU FDL

Site hospedado por:

Viva o Linux

A maior comunidade Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda em Linux.

Estatísticas do site Equipe de moderadores FAQ: Perguntas freqüentes Membros da comunidade

Dica

Home » Dicas » Linux » Introdução » Visualização de dica

tcpdump: Monitorando conexões

tcpdump: Monitorando conexões

Viva o Linux