Sniffer de rede – TCPDUMP

Olá pessoal !!! Bem vindo ao site Back|Track Brasil !!!

Vamos ver a ferramenta TCPDUMP considerado um dos maiores “sniffer”. Alguns comandos serão apresentados.

Lembrando que existe muito material na NET a respeito do assunto.

Utilizando o TCPDUMP podemos realizar analises de rede e muito mais. O site oficial é www.tcpdump.org

Obs: Clique na imagem para aumentar

Vamos verificar a interface de rede com o comando ifconfig.

 

 

 

 

 

 

 

 

Vamos analisar a interface de rede eth0 com o parâmetro -i seguido da rede  eth0. Neste caso veremos todo o tráfego  que passa pela rede eth0.

tcpdump -i eth0

 

 

 

 

 

 

 

 

Com esse comando analisaremos o tráfego da porta de origem 22

tcpdump -i eth0 src port 22

 

 

 

 

 

 

 

 

Ou porta de destino com o parâmetro dst verificando a porta 80.

tcpdump -i eth0 dst port 80

 

 

 

 

 

 

 

 

Monitorando conexão de origem host: 192.168.1.9, neste caso disparei um ping para o host 192.168.1.4. Comando importante para monitorar um host suspeito na rede.

tcpdump -i eth0 src host 192.168.1.9

 

 

 

 

 

 

 

 

Neste caso, estamos monitorando nosso host principal 192.168.1.4  com o gateway da rede

tcpdump -i eth0 dst host 192.168.1.1

 

 

 

 

 

 

 

 

Com este exemplo estaremos pegando os pacotes que estão sendo enviados e recebidos para o site www.terra.com.br

tcpdump -i eth0 eth0 host www.terra.com.br

 

 

 

 

 

 

 

 

Utilizando o comando man tcpdump verificamos uma completa definição do sniffer no manual juntamente com os parâmetros necessários.

man tcpdump

 

 

 

 

 

 

 

 

Agora pessoal vamos repetir o comando tcpdump -i eth0 dst host 192.168.1.1,  no entanto acrescentaremos o > log_backtrackbrasil.txt

Desta forma, todo o tráfego será copiado para o arquivo log_backtracbrasil.txt facilitando posteriormente uma consulta.

tcpdump -i eth0 dst host 192.168.1.1 > log_backtrackbrasil.txt

 

 

 

 

 

 

 

 

Finalizando vamos abrir o arquivo log_backtrackbrasil.txt com o VIM

 

 

 

 

 

 

 

 

Log de tráfego no arquivo.

 

 

 

 

 

 

 

 

É isso aí pessoal !!! Mostramos comandos básicos, no entanto  muita coisa pode ser feito com o TCPDUMP, basta um pouco de estudo e aplicação de regras específicas para conseguirmos o que desejamos.

Abraços a todos.

 

By: Gerson Raymond

Técnico em Contabilidade, Técnico em Eletrônica, Técnico em Telecomunicações, Bacharel em Ciência da Computação, Administrador de Redes Linux (CentOS, XEN, Zabbix, Asterisk/Elastix) e Pós-Graduando em Segurança em Tecnologia da Informação – UNIVERSIDADE MACKENZIE – SP.

Homepage: http://www.grsecurity.com.br