Artigos, LinuxArtigo > Seis formas práticas de uso do TCPDump

Artigo > Seis formas práticas de uso do TCPDump

O TCPDump é um comando extremamente eficaz para verificação do tráfego de pacotes na rede de sistemas Linux.

Vou compartilhar aqui as formas mais utilizadas, ou pelo menos as que mais utilizo.

1 – Especificando uma interface de rede:

tcpdump -i eth1

Por padrão, o TCPDump vai “ouvir” somente a interface principal do sistema. Portanto, caso necessite verificar o tráfego em outra interface, utilize o parâmetro “-i“.

Outro parâmetro muito importante nesse sentido é o “-i any” (tcpdump -i any). Com ele podemos “ouvir” todas interfaces de uma só vez.

2 – Especificando um host:

tcpdump host ldap.google.com

Podemos verificar se há tráfego de/para um determinado host com o parâmetro “host” seguido do host que queremos verificar.

Desta forma verificamos tanto o host de entrada quanto de saída.

3 – Especificando um endereço IP:

O parâmetro “host” também pode ser utilizado para determinarmos endereços IP. Para isso, o utilizamos com o parâmetro “-n” (-n host). Sem ele, o comando não “resolverá” o host em endereço IP.

4 – Especificando origem e destino

Origem:

tcpdump -n src host 192.168.0.100

Utilizando o parâmetro “src” filtro apenas pelo tráfego de origem de um host.

Destino:

tcpdump -n dst host 192.168.0.100

Com “dst” filtro apenas o tráfego de destino. No caso, o destino será o host especificado.

5 – Especificando a porta.

tcpdump dst port 443

No exemplo acima, mais uma vez, utilizamos o parâmetro “dst“, porém seguido de “port 443“. Ou seja, estou filtrando pela porta de destino 443. Se acaso queiramos filtrar o tráfego de entrada na mesma porta, basta substituir o “dst” por “src“.

6 – Concatenando parâmetros

Podemos juntar parâmetros no TCPDump com “and” ou “or“. Exemplo:

tcpdump -n host 192.168.0.100 and dst port 80 or dst port 8080

Agora já está tudo bem mais claro, não? No exemplo anterior estou filtrando pelo host 192.168.0.100 cujo a porta de destino é a “80” ou “8080“.

Conclusão

O TCPDump serve para muitas outras coisas, mas como Sysadmin Linux, essas são as formas que o mais utilizo.

Muito útil para diagnósticos, o TCPDump está disponível nas melhores distribuições Linux.

Abraço!

Categories: Artigos, Linux Tags: , , , ,

Comments

No Comments Yet. Be the first?

Post a comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.