tcpdump: Monitorando conexões
Publicado por Leandro Nascimento de Souza em 11/04/2007
[ Hits: 232.192 ]
Blog: http://www.mailgateway.com.br
tcpdump: Monitorando conexões
O tcpdump é um dos mais, se não o mais "famoso" sniffer para sistemas GNU/Linux. Com ele podemos
realizar análises de redes e solucionar problemas. Sua utilização é simples e sem mistérios, bastando apenas ter os
conhecimentos básicos de redes TCP/IP. Esta dica é apenas uma introdução deste sniffer, maiores informações
e documentação à seu respeito podem ser encontradas em seu site oficial:
A instalação do tcpdump em sistemas Debian é super simples, bastando executar o comando abaixo como super usuário (root):
# apt-get install tcpdump
Para iniciarmos a utilização do tcpdump precisamos especificar a interface de rede que queremos analisar com o parâmetro -i seguido da interface desejada, por exemplo, se quisermos analisar todo o tráfego que passa pela interface eth0, executaríamos a seguinte linha de comando:
# tcpdump -i eth0
Conexões de origem podem ser monitoradas utilizando o parâmetro src host, um exemplo simples seria monitorarmos o tráfego que vem de 192.168.0.9 para nosso computador, com o ip 192.168.0.2. A linha de comando ficaria da seguinte forma:
# tcpdump -i eth0 src host 192.168.0.9
Se quisermos monitorar as conexões especificando um host de destino, poderíamos fazê-lo com o parâmetro dst host, o exemplo abaixo mostra todo o tráfego do host 192.168.0.2 com 192.168.0.1, no caso, 192.168.0.1 é nosso gateway.
# tcpdump -i eth0 dst host 192.168.0.1
Com tcpdump também podemos especificar exceções com o parâmetro not host, por exemplo, em nosso servidor queremos ver todo o tráfego que se passa em sua interface, exceto o de 192.168.0.8, faríamos da seguinte forma:
# tcpdump -i eth0 not host 192.168.0.9
No tcpdump podemos também especificar portas de origem e destino com os comandos src port e dst port, um exemplo seria monitorarmos o tráfego destinado à porta 80 (http), para isso utilizaríamos a linha de comandos abaixo e navegaríamos em um site qualquer:
# tcpdump -i eth0 dst port 80
Para verificarmos o tráfego da porta de origem 32881 por exemplo, faríamos da seguinte forma:
# tcpdump -i eth0 src port 32881
Muitas opções avançadas podem ser obtidas com o tcpdump, essas são algumas opções básicas, porém fundamentais para quem quer aprender sobre sniffers.
Fonte: http://pt.wikipedia.org/wiki/Tcpdump
A instalação do tcpdump em sistemas Debian é super simples, bastando executar o comando abaixo como super usuário (root):
# apt-get install tcpdump
Para iniciarmos a utilização do tcpdump precisamos especificar a interface de rede que queremos analisar com o parâmetro -i seguido da interface desejada, por exemplo, se quisermos analisar todo o tráfego que passa pela interface eth0, executaríamos a seguinte linha de comando:
# tcpdump -i eth0
Conexões de origem podem ser monitoradas utilizando o parâmetro src host, um exemplo simples seria monitorarmos o tráfego que vem de 192.168.0.9 para nosso computador, com o ip 192.168.0.2. A linha de comando ficaria da seguinte forma:
# tcpdump -i eth0 src host 192.168.0.9
Se quisermos monitorar as conexões especificando um host de destino, poderíamos fazê-lo com o parâmetro dst host, o exemplo abaixo mostra todo o tráfego do host 192.168.0.2 com 192.168.0.1, no caso, 192.168.0.1 é nosso gateway.
# tcpdump -i eth0 dst host 192.168.0.1
Com tcpdump também podemos especificar exceções com o parâmetro not host, por exemplo, em nosso servidor queremos ver todo o tráfego que se passa em sua interface, exceto o de 192.168.0.8, faríamos da seguinte forma:
# tcpdump -i eth0 not host 192.168.0.9
No tcpdump podemos também especificar portas de origem e destino com os comandos src port e dst port, um exemplo seria monitorarmos o tráfego destinado à porta 80 (http), para isso utilizaríamos a linha de comandos abaixo e navegaríamos em um site qualquer:
# tcpdump -i eth0 dst port 80
Para verificarmos o tráfego da porta de origem 32881 por exemplo, faríamos da seguinte forma:
# tcpdump -i eth0 src port 32881
Muitas opções avançadas podem ser obtidas com o tcpdump, essas são algumas opções básicas, porém fundamentais para quem quer aprender sobre sniffers.
Fonte: http://pt.wikipedia.org/wiki/Tcpdump
Outras dicas deste autor
Monitorando seu Web Server de forma fácil
Monitorando interfaces de rede com ifstat
lsof - Pequeno guia de referência
Leitura recomendada
Enviando e-mail com Python e autenticação no SMTP pelo Linux
INPROPRIETÁRIO - O Mundo do Software Livre
Instalando uma placa wireless (rtl8180) sem o uso de NDISWrapper
Facilitando a compilação com o g++
Comentários
[1] Comentário enviado por removido em 16/08/2007 - 04:21h
Leadro,
Parabéns pelo artigo! Simples e objetivo!
Atenciosamente,
Slackmaster (jlgomessouza@gmail.com.br)
http://dangercode.blogspot.com
Leadro,
Parabéns pelo artigo! Simples e objetivo!
Atenciosamente,
Slackmaster (jlgomessouza@gmail.com.br)
http://dangercode.blogspot.com
[2] Comentário enviado por jakson_kiko em 29/08/2007 - 14:21h
cara muito massa o artigo, me ajudo um monte!!!!!
cara muito massa o artigo, me ajudo um monte!!!!!
[3] Comentário enviado por andrei_scaratti em 24/11/2007 - 11:18h
Muito bom.. Estou estudando a fundo esse utilitário que é muito util em redes de computadores.
Muito bom.. Estou estudando a fundo esse utilitário que é muito util em redes de computadores.
[4] Comentário enviado por marcos.sf em 11/04/2008 - 13:03h
para filtrar e criar um log usando o tcpdump :)
tcpdump -v -i eth0 src host 192.168.xx..xxx | grep palavra_chave > /home/nome.txt
para filtrar e criar um log usando o tcpdump :)
tcpdump -v -i eth0 src host 192.168.xx..xxx | grep palavra_chave > /home/nome.txt
[5] Comentário enviado por albertoaalmeida em 07/01/2009 - 09:52h
Simples e prático.
Parabéns..
Muito bom..
Alberto Almeida
www.albertoalmeida.blogspot.com
Simples e prático.
Parabéns..
Muito bom..
Alberto Almeida
www.albertoalmeida.blogspot.com
[6] Comentário enviado por nunesdutra em 17/07/2009 - 16:49h
Muito bom!!!
Filtrando por IPs.
tcpdump -i eth0 |grep 192.168.xxx.xxx
Vlw!
Muito bom!!!
Filtrando por IPs.
tcpdump -i eth0 |grep 192.168.xxx.xxx
Vlw!
[7] Comentário enviado por Nander em 22/07/2010 - 01:52h
Mais uma Contribuição:
tcpdump -i any -Aavv -w ARQUIVO_LOG, onde:
-i any = Pega todo o Tráfego de Todas as interfaces
-Aavv = Detalhamento das conexões
-w ARQUIVO_LOG = w de write, Grava um Arquivo de LOG que não é Legível por editores de Texto.
Para Ler o Arquivo basta digitar:
tcpdump -i any -Aavv -r ARQUIVO_LOG | less
onde o -r é de READ para ler e nele vc pode aplicar os Filtros no proprio log como:
tcpdump -i any -Aavv tcp port 80 and host 192.168.0.1 -r ARQUIVO_LOG | less
Att
Ernander
Mais uma Contribuição:
tcpdump -i any -Aavv -w ARQUIVO_LOG, onde:
-i any = Pega todo o Tráfego de Todas as interfaces
-Aavv = Detalhamento das conexões
-w ARQUIVO_LOG = w de write, Grava um Arquivo de LOG que não é Legível por editores de Texto.
Para Ler o Arquivo basta digitar:
tcpdump -i any -Aavv -r ARQUIVO_LOG | less
onde o -r é de READ para ler e nele vc pode aplicar os Filtros no proprio log como:
tcpdump -i any -Aavv tcp port 80 and host 192.168.0.1 -r ARQUIVO_LOG | less
Att
Ernander
[8] Comentário enviado por maurotopa em 08/12/2010 - 11:47h
cara show de bola, sou iniciante ajudou 100% , valeu
vivaolinux = 1000%
pessoal = 1000%
cara show de bola, sou iniciante ajudou 100% , valeu
vivaolinux = 1000%
pessoal = 1000%
[9] Comentário enviado por rodrigo.a.sc em 17/11/2011 - 01:27h
Boa,
Bem eu gostaria de uma analise por rede, por exemplo toda a conectividade que vai para a rede 10.0.0.1/24 eu pego os dados.
Algma opção ??
O que fiz foi
tcpdump -i any dst 192.168.1
no output me deu resultados como :
IP 10.150.1.111.3389 > 192.168.1.70.30596
No caso é uma aplicação ipsec rodando.
Boa,
Bem eu gostaria de uma analise por rede, por exemplo toda a conectividade que vai para a rede 10.0.0.1/24 eu pego os dados.
Algma opção ??
O que fiz foi
tcpdump -i any dst 192.168.1
no output me deu resultados como :
IP 10.150.1.111.3389 > 192.168.1.70.30596
No caso é uma aplicação ipsec rodando.
[10] Comentário enviado por anrsm em 30/05/2012 - 01:44h
Vamos lá,
usamos o tcpdump para fazer tal monitoramento, porém acredito que se estiver recebendo trafego de determinado IP,
o que ele vai me ajudar o tcpdump? apenas monitoramento? consigo fazer algum tipo de nullroute do IP pelo tcpdump?
abraços
Vamos lá,
usamos o tcpdump para fazer tal monitoramento, porém acredito que se estiver recebendo trafego de determinado IP,
o que ele vai me ajudar o tcpdump? apenas monitoramento? consigo fazer algum tipo de nullroute do IP pelo tcpdump?
abraços
[11] Comentário enviado por bleckout em 04/05/2015 - 17:09h
O pergunta: O programa tcpdump só escuta as interfaces locais? Tem alguma formar de eu setar um outro IP da rede(sem ser gateway)?
Senão, então na minha opinião o Wireshark é melhor :v
___________________________________________________________________
[i]"Vivemos todos sob o mesmo céu, mas nem todos temos o mesmo horizonte." - Konrad Adenauer
Ubuntu 14.04 LTS amd64 - Core i7 3770K, 8GB RAM - NVIDIA GTX 760 Windforce[/i]
O pergunta: O programa tcpdump só escuta as interfaces locais? Tem alguma formar de eu setar um outro IP da rede(sem ser gateway)?
Senão, então na minha opinião o Wireshark é melhor :v
___________________________________________________________________
[i]"Vivemos todos sob o mesmo céu, mas nem todos temos o mesmo horizonte." - Konrad Adenauer
Ubuntu 14.04 LTS amd64 - Core i7 3770K, 8GB RAM - NVIDIA GTX 760 Windforce[/i]
[12] Comentário enviado por aleks em 28/09/2017 - 08:05h
Valeu Leandro sua explicação sobre este sniffer ficou show .
Valeu Leandro sua explicação sobre este sniffer ficou show .
[13] Comentário enviado por mauricioasj em 29/09/2017 - 12:00h
Excelente Artigo! Obrigado pela contribuição na comunidade! Exatamente o que eu precisava!
Maurício Antônio
Excelente Artigo! Obrigado pela contribuição na comunidade! Exatamente o que eu precisava!
Maurício Antônio
[14] Comentário enviado por doug_pirralha em 01/03/2018 - 17:30h
Ótimo artigo, me ajudou a esclarecer o assunto.
Ótimo artigo, me ajudou a esclarecer o assunto.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Configuração do ZERO de um Servidor DHCP
Soluções para Acesso Remoto Seguro com SSH
Software Manivela VS Software Modinha
Dicas
Não consegue se registrar no Redhat [Resolvido]
Ativando SSH no Raspberrypi no Sistema Operacional Raspbian (sem trocas de cabos)
ISO do Debian com Firmware NonFree
Tópicos
Não consigo instalar o Dropbox em 2 distribuições distintas. (3)
Não consigo fazer nenhum comando (4)
ctrl+c & ctrl+v não funcionam (8)
Linux Mint... Dual Boot... Novamente. (12)
Como criar uma sequencia de arquivos .log com um script .sh? (1)
Top 10 do mês
-
Xerxes Lins
1° lugar - 87.797 pts -
Clodoaldo Santos
2° lugar - 53.230 pts -
Fábio Berbert de Paula
3° lugar - 45.702 pts -
Lisandro Guerra
4° lugar - 33.453 pts -
Andre (pinduvoz)
5° lugar - 32.800 pts -
Alberto Federman Neto.
6° lugar - 21.371 pts -
Daniel Lara Souza
7° lugar - 21.697 pts -
edps
8° lugar - 20.913 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 19.636 pts -
Robson Fernando Gomes
10° lugar - 19.369 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
Visite também: Dicas-L · Diolinux · SoftwareLivre.org · UnderLinux · Blog do Edivaldo · Sempre Update
