Tempo de carregamento: 0,386 segundos.

Artigo > Seis formas práticas de uso do TCPDump

1915 Views
Tempo de leitura: 1 Minuto
Conteúdo atualizado em

O TCPDump é um comando extremamente eficaz para verificação do tráfego de pacotes na rede de sistemas Linux.

Vou compartilhar aqui as formas mais utilizadas, ou pelo menos as que mais utilizo.

1 – Especificando uma interface de rede:

tcpdump -i eth1

Por padrão, o TCPDump vai “ouvir” somente a interface principal do sistema. Portanto, caso necessite verificar o tráfego em outra interface, utilize o parâmetro “-i“.

Outro parâmetro muito importante nesse sentido é o “-i any” (`tcpdump -i any`). Com ele podemos “ouvir” todas interfaces de uma só vez.

2 – Especificando um host:

tcpdump host ldap.google.com

Podemos verificar se há tráfego de/para um determinado host com o parâmetro “host” seguido do host que queremos verificar.

Desta forma verificamos tanto o host de entrada quanto de saída.

3 – Especificando um endereço IP:

O parâmetro “host” também pode ser utilizado para determinarmos endereços IP. Para isso, o utilizamos com o parâmetro “-n” (`-n host`). Sem ele, o comando não “resolverá” o host em endereço IP.

4 – Especificando origem e destino

Origem:

tcpdump -n src host 192.168.0.100

Utilizando o parâmetro “src” filtro apenas pelo tráfego de origem de um host.

Destino:

tcpdump -n dst host 192.168.0.100

Com “dst” filtro apenas o tráfego de destino. No caso, o destino será o host especificado.

5 – Especificando a porta.

tcpdump dst port 443

No exemplo acima, mais uma vez, utilizamos o parâmetro “dst“, porém seguido de “port 443“. Ou seja, estou filtrando pela porta de destino 443. Se acaso queiramos filtrar o tráfego de entrada na mesma porta, basta substituir o “dst” por “src“.

6 – Concatenando parâmetros

Podemos juntar parâmetros no TCPDump com “and” ou “or“. Exemplo:

tcpdump -n host 192.168.0.100 and dst port 80 or dst port 8080

Agora já está tudo bem mais claro, não? No exemplo anterior estou filtrando pelo host 192.168.0.100 cujo a porta de destino é a “80” ou “8080“.

Conclusão

O TCPDump serve para muitas outras coisas, mas como Sysadmin Linux, essas são as formas que o mais utilizo.

Muito útil para diagnósticos, o TCPDump está disponível nas melhores distribuições Linux.

Abraço!

2 - 0

Thank You For Your Vote!

Sorry You have Already Voted!