[Intro] Tcpdump, análise de rede

Conteudo sobre rede sem fio
Post Reply
User avatar
51M0N
Admin
Admin
Posts: 846
Joined: Fri Jan 02, 2015 2:06 pm

[Intro] Tcpdump, análise de rede

Post by 51M0N » Thu Jan 05, 2017 4:16 pm

Galera o tcpdump(um das melhores á meu gosto) é a ferramenta de análise de rede, ter uma sólida compreensão desta aplicação e de extrema importância para qualquer um que deseja uma compreensão completa de TCP/IP . A compreensão profunda destes protocolos permite solucionar problemas em um nível muito alto com domínio dos protocolos:

Vemos abaixo uma saída do tcpdump:

Image

12:58:05.135369 = esta é a marca de hora no formato de 2 digitos para hora,minutos e segundos e seis dígitos para as partes fracionarias do segundo.
192.168.10.129 = host de origem, caso não haja resolução para o número de IP ou resolução do nome de um host o número de IP é exibido.
imaps = é o numero da porta/serviço
> = esse é o marcado para indicar o fluxo direcional da origem ate o destino.
192.168.10.128 = host destino
38096 = este é o numero da porta do destino.

Perceba que esse host está conectado á uma das portas efêmeras que e utilizada para conectar quando a aplicação e liberada, essas portas normalmente são numeradas com valores acima de 1023, quando um cliente inicia uma conexão com um servidor uma porta efêmera e selecionada , com isso os dois hosts trocam informações entre si.

ack = este é a flag ACK, normalmente é usada para demostrar o recebimento dos dados do emissor
1681736137 = este número e a sequencia tcp inicia e o numero de sequencia final tcp (bytes de dados )
win 5792 = este é o tamanho do buffer tcp receptor (em bytes) do 192.168.10.129
-n : os nomes não são resolvidos
-X : exibe o conteúdo tanto em hex quanto em ASCII
-S : muda a sequencia dos números absolutos ao invés de relativos

E importante observar que o tcpdump só da os primeiros 96 bytes de dados de um pacote por padrão, se você quiser olhar mais pacotes ira te que adicionar a flag “-s” e o numero de bytes que desejar,usar o numero zero significa que ira receber todos os bytes,alguns dicas:

-XX : mostra o cabeçalho de ethernet
-V,-vv,-vvv : aumenta a quantidade de informações de pacotes
-c : obtem um numero x de pacotes especificado por você
-s : define o tamanho de captura de bytes, usando -s0 ira capturar todos os pacotes
-S : imprime um numero de sequencias absolutas
-e : obtem o cabeçalho de ethernet também
-q : ver menos informações do protocolo
-E : ver o trafego do IPSEC, fornecendo assim uma chave de criptografia

* vejamos uma comunicação básica :

Code: Select all

tcpdump -NS
* comunicação basica mas detalhada :

Code: Select all

tcpdump -nnvvS
* ver mais coisas no trafego :

Code: Select all

tcpdump -nnvvXS
* visualizar um pacote maior,aumentando assim o valor :

Code: Select all

tcpdump -nnvvXS 1512
>>> Sintaxe comum
Algumas expressões permitem vários tipos de tráfegos que você pode procurar,existem 3 tipos de expressões principais type, dir, e proto.

As opções host, net, e port. indicando por dir, podendo ter src, dst, src e dst, src e dst vamos ver algumas abaixo:

* host : ver o trafego com base em um endereço ip ou nome do host e claro se você não estiver usando a
opção “-n” , veja o exemplo abaixo:

Code: Select all

tcpdump host 10.0.0.1
* src,dst : encontra o trafego de apenas uma fonte destino ou de algum destino

Code: Select all

tcpdump src 10.0.0.1

Code: Select all

tcpdump dst 10.0.0.2
* net : captura a entrada da rede usando a notação CIDR

Code: Select all

tcpdump net 10.0.0.1/24
* proto : funciona para TCP,ICMP,UDP note que você não tem que digitar o proto

Code: Select all

tcpdump tcp
* port : funciona em uma determinda porta para analisar o trafego

Code: Select all

tcpdump port 3305
* src port, dst port : filtro baseado na fonte ou na porta destino

Code: Select all

tcpdump src port 1025
tcpdump dst port 389
* src/dst,port,protocol : combinando todos os três

Code: Select all

tcpdump src port 1025 e tcp
tcpdump udp e src port 53
Podemos usar também a filtragem de porta por entervalo, em vez de declarar individualmente

* Range de Porta : podemos ver o trafego de qualquer porta em um intervalo

Code: Select all

tcpdump portrange 21-53
* Filtros de pacotes : ver os pacotes de um determinado tamanho, com o seguinte simbolos

Code: Select all

tcpdump > 32
tcpdump <= 128
Podemos enviar o arquivo capturado em um arquivo usando a opção -w de depois lê-lo de volta usando a opção -r, esta e uma excelente maneira de capturar o tráfegos cru para depois ser usado em algum outro programa.O tráfego capturado desta forma é armazenado em um formato do tcpdump,isso significa que ele pode ser lido em por todos os tipos de ferramentas, como Wireshark,Snort e etc

Abaixo vamos capturar o tráfego da porta 80 para um arquivo

Code: Select all

tcpdump -s 1514 port 80 -w capture_file
Caso queira você pode ler o tráfego de volta assim:

Code: Select all

tcpdump -r capture_file

Bem galera tem mais um monte de sintaxe que você pode usar mas vou ficar por aqui;

@vitoria@
"Você, eu, nem ninguém vai bater tão duro como a vida. Mas não se trata de bater duro. Se trata de quanto você aguenta apanhar e seguir em frente (...). É assim que se consegue vencer." by Rocky Balboa

User avatar
Kodo no Kami
Admin
Admin
Posts: 641
Joined: Fri Jan 02, 2015 1:56 pm
Contact:

Re: [Intro] Tcpdump, análise de rede

Post by Kodo no Kami » Fri Jan 06, 2017 9:50 pm

muito bom mano tcpdump é massa sempre uso ele \o
Image

Conheça o sistema e manipule ele, se limite ao sistema e seja manipulado por ele ~kodo no kami

meu perfil yahoo

User avatar
gjuniioor
Vip
Vip
Posts: 122
Joined: Wed Apr 29, 2015 5:29 pm

Re: [Intro] Tcpdump, análise de rede

Post by gjuniioor » Sat Jan 07, 2017 12:40 am

TCPDump é massa mesmo. É bom se ligar na sintaxe dos filtros dele, pois é bem parecida com usada pelo (t|wire)shark, então dá para aprender já ambos numa só

:P
"A ignorância não se dá apenas pela falta de conhecimento, mas também pelo desgosto em obtê-lo" - @gjuniioor

https://github.com/gjuniioor
https://gjuniioor.github.io

https://lampiaosec.github.io

Post Reply

Return to “Wireless / Bluetuth / GPS”