- Pgina 1 -

- Pgina 2 -

- Pgina " -

1. Introduo, terminologia e convenes

2. Principais chaves do tcpdump continuao!

Funo Idem, mas em hexadecimal e caracteres A*2II. Idem, mas somente em sequ0ncias em hexadecimal. Aumenta a quantidade de informa8 es extra!das do cabe8alho do pacote. Idem ao anterior, com mais informa8 es ainda. Idem ao anterior, com mais informa8 es. %ra"a o resultado da captura em um arqui"o. 4 importante ressaltar que se nenhuma outra cha"e ou express7o de filtragem for utili1ada, todo o trfego passante ser gra"ado. 4 aconselh"el utili1ar as cha"es -nv para acelerar a gra"a87o, por n7o resol"er nomes, e para mostrar detalhes da captura em andamento. (0 um arqui"o pre"iamente gra"ado com -w. +i"ersas cha"es poder7o ser utili1adas para depurar o resultado. &7o mostra a data e a hora na tela. -ostra a data e a hora utili1ando o padr7o yyyy-mm-dd hh:mm:ss.ssssss. -ostra tambm os dados referentes < camada = do -odelo O*I 9enlace:. Exibe os resultados >2P utili1ando a sua sequ0ncia absoluta, em "e1 da sequ0ncia relati"a. ?ecomendado na anlise de sequ0ncias >2P.

". #$presses de %iltragem

O tcpdump, por estar baseado na libpcap, utili1a as express es de filtragem fornecidas por esta. >ais express es poder7o ser "istas no manual on5line da librar; 9$ man pcap-filter no +ebian: ou em http: www.manpa"e$.c!m man % pcap-filter. A seguir, algumas express es muito utili1adas.
Chave
h!st nome-ip

Chave O tcpdump o melhor analisador de trfego em modo texto que existe. Ele baseado na libpcap, uma -X poderosa API para a captura de pacotes de rede durante -x o seu trfego. Assim, o tcpdump mostra as conex es -v estabelecidas e o trfego correspondente.

O tcpdump est dispon!"el para os #nix li$e, como %&#'(inux, )*+, O* ,, *olaris etc. O WinDump um port do tcpdump para o -* .indo/s. Assim, id0ntico ao tcpdump. +este ponto em diante, a pala"ra tcpdump ser utili1ada como refer0ncia tanto para o tcpdump quanto para o WinDump.

-vv -vvv -w arq

Funo Especifica que somente o trfego en"ol"endo a mquina em quest7o, referenciada pelo seu nome ou IP, ser mostrado. Idem ao anterior. &o entanto, a filtragem em rela87o a uma faixa de rede, em "e1 de uma mquina 6nica. A express7o de filtragem poder ser com &'D(, como em )*+.),-.).. +/, ou com mscara de rede, como em )*+.),-...), mas0 +11.+11.+11... Idem, referindo5se a um endere8o 2A&. Idem, referindo5se a uma porta. +elimita < origem. Pode ser associado a h!st, net, p!rt e ether h!st. ExemplosA src h!st, src net, src p!rt, ether src h!st. +elimita ao destino. Pode ser associado a h!st, net, p!rt e ether h!st. Ex.A dst h!st.

net rede/CIDR

2. Principais chaves do tcpdump

Chave
-D -i iface

Funo -ostra as interfaces de rede dispon!"eis. +etermina qual interface de rede de"er ser utili1ada. 2aso nenhuma se3a especificada, a primeira mostrada pela cha"e -D ser utili1ada. 4 poss!"el utili1ar qualquer uma mostrada pela cha"e -D, podendo cit5la pelo nome ou pelo n6mero. Para escutar em todas as interfaces, utili1e any como iface. &7o fa1 resolu87o de nomes de hosts e nem de portas, acelerando a exibi87o dos resultados na tela 9tempo real:. 4 aconselh"el sempre utili1ar -n nas anlises de trfego. Ao resol"er nomes, n7o mostra o dom!nio do host. -ostra cabe8alho e pa;load dos pacotes em A*2II.

-r arq

ether h!st MAC p!rt porta src

-t -tttt

-e

dst

-S

-n

n!t

ou 3 ou 66

-N -A

As cha"es mostradas s7o as principais. @ muitas outras dispon!"eis, que poder7o ser "istas no seu manual on5line, com o comando $ man tcpdump ou em http: www.tcpdump.!r" tcpdump#man.html.

Operador lBgico N45. #tili1ado para excluir algo do resultado da pesquisa. Ex.A 3 p!rt -.. Operador lBgico AND. #tili1ado para associar duas ou mais express es, tornando5as obrigatBrias no resultado da pesquisa.

and

- Pgina & -

- Pgina ' -

". #$presses de %iltragem continuao!

Chave !r ou 77

>rfego 5&: que se3a oriundo ou destinado < porta GD ou que se3a apenas oriundo da CCD, sem resol"er nomes. Os apBstrofos foram utili1ados para e"itar a Funo interpreta87o errHnea dos par0nteses pelo shell. Operador lBgico 4(. #tili1ado para declarar duas ou
mais express es, fa1endo com que, pelo menos uma, apare8a no resultado da pesquisa.
8 tcpdump -n tcp and <=p!rt -. !r src p!rt )).><

&. #$emplos de uso

-ostrar todo o trfego de rede, que passa pela primeira interface listada com 8 tcpdump -D, sem resol"er nomes. Isso permitir a "isuali1a87o do trfego em tempo real.
8 tcpdump -n

>rfego '&2: referentes a qualquer host que perten8a < rede CD.C.D.D'CI, sem resol"er nomes.
8 tcpdump -n icmp and net )..).... ),

ANLISE DE TRFEGO EM REDES TCP/IP COM TCPDUMP E WINDUMP

*erso 1.2 - 11 de maro de 2+1"

>rfego referente ao host que possua o endere8o 2A& especificado. &7o resol"e nomes.
8 tcpdump -n ether h!st ..:ff:;):++:+d:))

>rfego 9D: no adaptador eth), incluindo o pa;load 9rea de dados: em A*2II, sem resol"er nomes.
8 tcpdump -nAi eth) udp

'. Filtragem dos campos do protocolo (CP

4 poss!"el reali1ar filtragens, procurando por situa8 es espec!ficas no 5&:. Para isso, "oc0 precisar conhecer a estrutura de cabe8alho do protocolo 9?J2 KLF:. Mamos a um exemplo. Nueremos filtrar apenas o trfego que contenha as flags A&? e (S5 ati"adas. *egundo a ?J2 KLF, as flags 5&: &W(, @&@, 9(A, A&?, :SB, (S5, SCN e D'N, nesta ordem, est7o no COP b;te do cabe8alho. 2omo a contagem inicia em 1ero, o COP b;te o campo CF. Assim, precisaremos marcar ) na flag (S5 e . nas restantes. Pela ordem das flags, o resultado final ser ...).).. que, em decimal, representa +.. ?esultadoA
8 tcpdump -n tcpE);F GG +.

>rfego que en"ol"a o host CD.C.C.=E e que se3a 9D:, sem resol"er nomes.
8 tcpdump -n h!st )..).).+1 and udp

>rfego en"ol"endo o host CD.C.C.=, que se3a 9D:, e que tenha como origem ou destino a porta EF, sem resol"er nomes.
8 tcpdump -n h!st )..).).+ and udp and p!rt 1;

, 2+1" -. /oo #ri-erto 0ota Filho

http122eri-erto.pro.-r2redes eri-erto3eri-erto.pro.-r

>rfego que en"ol"a o host CD.C.C.=E, que se3a 9D:, e que este3a relacionado a qualquer porta, exceto a EF, sem resol"er nomes. >ambm ser mostrado o cabe8alho referente < camada de enlace.
8 tcpdump -ne h!st )..).).+1 and udp and p!rt 3 1;

). Capturas para estudo

@ di"ersas capturas para estudo, no /i$i do .ireshar$, em http: wi0i.wireshar0.!r" Sample&aptures. A3ude o /i$i deles en"iando a sua capturaQQQ
2048R/2DF0491F: 1D75 E212 B34C F4BF A9E0 D0D8 DE6D E039 C1CF C265 4096R/04EBE9EF: 357D CB0E EC95 A01A EBA1 F0D2 DE63 B9C7 04EB E9EF