tcpdump – Monitorando os pacotes trafegados em sua rede

Prezados colegas,

Primeiramente saudações Pinguianas a todos,

Apresento a vocês o mais magnífico sniffer de rede para Linux!

O tcpdump é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de computadores. Ela mostra os cabeçalhos dos pacotes que passam pela interface de rede. Não vou entrar em detalhes sobre o que é essa ferramenta, vou apenas mostrar as opções mais usadas. Para saber mais, clique aqui (https://pt.wikipedia.org/wiki/Tcpdump).

Comandos mais comuns:

Neste comando vamos sniffar a eth0 para um determinado host:

tcpdump -n -i eth0 host 0.0.0.0

Neste comando vamos sniffar a eth0 para uma determinada porta:

tcpdump -i eth0 port 110

Neste comando vamos sniffar a eth0 para recebimento de ping:

tcpdump -i eth0 icmp

Neste comando vamos sniffar a eth0 para um destino especificado:

tcpdump -i eth0 dst 0.0.0.0

Neste comando vamos sniffar a eth0 para uma origem especificada:

tcpdump -i eth0 src 0.0.0.0

O comando tcpdump possui vários complementos os quais veremos agora.

Neste comando repare que acrescentamos “Xxx”, esses parâmetros permitem que você abra o pacote que está sendo transmitido pelo host determinado:

tcpdump -nXxx -i eth0 host 0.0.0.0

Neste comando vamos sniffar um determinado host falando na porta 3389 (Terminal Service):

tcpdump -n -i eth0 host 0.0.0.0 and port 3389

No firewall ele nos permite realizarmos vários tipos de filtros e parâmetros, a seguir veremos um tcpdump com host, porta e exclusão de porta:

tcpdump -n -i eth0 host 0.0.0.0 and port 25 and not port 3389

Bom, também podemos realizar tcpdump em determinadas portas e excluindo alguns hosts. Ex:

tcpdump -n -i eth0 port 3389 and port 25 and port 110 and not port 443 and not port 3128 and not host 0.0.0.0 and not host 0.0.0.0

É isso galera, espero ter colaborado!