tcpdump

O tcpdump é uma poderosa ferramenta de linha de comando usada para capturar e analisar pacotes de rede. Seu uso abrange desde a simples observação do tráfego de rede em uma interface específica até análises detalhadas para diagnóstico de problemas ou monitoramento de segurança. Com uma ampla variedade de opções e filtros, o tcpdump permite aos usuários adaptar a captura e análise às suas necessidades específicas.

Comandos Básicos

Monitoramento de Interface de Rede

tcpdump -v -i eth0 # -v (modo verbose), -i (Interface)

Salvar Captura em Arquivo

Salva o tráfego capturado diretamente em um arquivo para análise posterior.

tcpdump -v -i eth0 -w scanner.pcap

Filtragem de Tráfego

Por Protocolo

ICMP

tcpdump -v -i eth0 icmp -w scanner_icmp.pcap

UDP

tcpdump -vnr scanner.pcap udp

TCP

tcpdump -vnr scanner.pcap tcp

SCTP

tcpdump -vnr scanner.pcap sctp

Por Endereço IP

Único IP

tcpdump -vnr scanner.pcap host 192.168.0.200

Entre Dois Endereços IPs

tcpdump -vnr scanner.pcap host 192.168.0.200 and 192.168.0.1

IP de Origem e Destino

tcpdump -vnr scanner.pcap src host 192.168.0.200 and dst 192.168.0.1

Por Porta

Porta Única

tcpdump -vnr scanner.pcap port 21

Múltiplas Portas

tcpdump -i any 'port 80 or 8080' -w captura.pcap

Análise de Captura

Abrir e Analisar Arquivo PCAP

tcpdump -v -r scanner_icmp.pcap # -r (ler um arquivo)

Exibir Protocolo Ethernet

tcpdump -n -e -r icmp.pcap

Mostrar IPs e não o Hostname

tcpdump -vnr scanner_icmp.pcap # -n (mostra o IP)

Visualizar Caracteres em ASCII

tcpdump -vnAr scanner.pcap port 21

Visualizar Caracteres em Hexadecimal

tcpdump -vnXr scanner.pcap port 21

Pesquisa por String nos Pacotes

tcpdump -vnAr scanner.pcap port 21 | grep "pass"

Filtragem Avançada e Análise

Filtragem e Escrita em Novo Arquivo

tcpdump -r full_sniffer.pcap \
    -w filtered.pcap \
    '(host 192.168.0.200 and 192.168.0.1) and port 80'

Pesquisa por Conexões SYN ACK

tcpdump -vnr portscanlog.pcap | grep "\[S.\]"

Verificar IPs Envolvidos

tcpdump -vnr scanner.pcap | cut -d " " -f5 | grep -v "ttl" | sort -u

Dicas de Uso

O uso de flags como [S] (Sync), [F] (Finish), [R] (Reset), e [.] (ACK) pode ajudar na identificação do estado das conexões. A presença de uma flag de "finish" indica que a conexão foi estabelecida.
Para análises mais específicas, como filtrar por IP de origem e as conexões finalizadas, pode-se combinar com ferramentas como cut, grep, e sort para isolar informações relevantes.

Conclusão

A documentação organizada e aprimorada do tcpdump visa facilitar o entendimento e a aplicação prática da ferramenta para novos usuários e profissionais de TI. Agrupando os comandos por categorias, fica mais fácil localizar a funcionalidade necessária e compreender como aplicar filtros e análises específicas conforme o cenário. Lembre-se de consultar a documentação oficial e recursos adicionais para explorar todo o potencial do tcpdump.

Referências

https://danielmiessler.com/study/tcpdump/

Comandos Básicos​

Monitoramento de Interface de Rede​

Salvar Captura em Arquivo​

Filtragem de Tráfego​

Por Protocolo​

ICMP​

UDP​

TCP​

SCTP​

Por Endereço IP​

Único IP​

Entre Dois Endereços IPs​

IP de Origem e Destino​

Por Porta​

Porta Única​

Múltiplas Portas​

Análise de Captura​

Abrir e Analisar Arquivo PCAP​

Exibir Protocolo Ethernet​

Mostrar IPs e não o Hostname​

Visualizar Caracteres em ASCII​

Visualizar Caracteres em Hexadecimal​

Pesquisa por String nos Pacotes​

Filtragem Avançada e Análise​

Filtragem e Escrita em Novo Arquivo​

Pesquisa por Conexões SYN ACK​

Verificar IPs Envolvidos​

Dicas de Uso​

Conclusão​

Referências​