A TCP DUMP

1. INTRODUÇÃO

Neste texto, será abordado o programa tcpdump, um analisador de tráfego de rede que, apesar do nome, mostra mais que apenas pacotes TCP/IP. Trata-se de Free Software, distribuído sob licença BSD, que funciona na quase totalidade dos sistemas Unix, como GNU/Linux, FreeBSD, Solaris, macOS entre outros. Há uma versão para o MS-Windows denominada WinDump.

2.TCPDUMP

O programa foi desenvolvido em 1988 por Van Jacobs, Sally Floyd, Vern Paxson e Steven McCanne, que, à época, trabalhavam no Lawrence Berkeley Laboratory Network Research Group. Em 1999, Michael Richardson e Bill Fenner criaram o site oficial da aplicação tcpdump.org. Segundo o manual disponível no site, o programa funciona imprimindo uma descrição dos conteúdos de pacotes em uma interface de rede que coincidem com uma expressão booleana.

Apesar de tratar-se de uma aplicação “leve” (no sentido de que consome poucos recursos de hardware) é amplamente utilizada em auditorias de rede e computação forense como ferramenta para a investigação e elucidação de crimes digitais.

Para a confecção deste trabalho, foi utilizada a versão 4.9.2, lançada oficialmente em 23 de setembro de 2017, disponível no repositório de pacotes da distribuição Debian 9.9, codinome Stretch, atualizada em 27 de abril de 2019. A instalação foi feita a partir do instalador oficial da distribuição, através do comando apt-get install tcpdump. Tanto a instalação quanto a utilização da aplicação necessitam de privilégios de superusuário (administrador do sistema).

3. TCPDUMP PARA WINDOWS

O WinDump é a versão para Windows do tcpdump, o analisador de rede de linha de comando para UNIX. O WinDump é “100%” compatível com o tcpdump. Podendo ser executado em várias versões do Windows, a partir da versão Windows 95.

O WinDump faz a captura utilizado-se da biblioteca e dos drivers do WinPcap. Sendo uma versão totalmente gratuita e projetado sob licença de código aberto no estilo BSD (Berkeley Software Distribution).

4. EXEMPLOS E COMANDOS DO TCPDUMP

Na figura 1, é possível visualizar a saída do comando tcpdump executado sem parâmetros:

Sem que fosse definida uma interface, a aplicação começou a monitorar a primeira que encontrou disponível, a saber, a rede sem fio denominada wlp7s0.

Pode-se observar que as informações são organizadas em campos, separadas por um espaço em branco. Há, entre outras, informações, acerca do horário em que o pacote foi capturado, o tipo de pacote, o endereço IP e porta tanto de origem quanto de destino.

A execução do tcpdump com a opção “-D” mostra as interfaces disponíveis. O resultado pode ser visto na figura 2:

A opção “-i” seleciona uma interface (wireless, no exemplo da figura 3) para monitorar. A opção “-n” pede ao tcpdump que não resolva nomes de hosts e portas, enquanto “-c” limita em cinco o número de pacotes visualizados. Pode-se observar, também, que a ferramenta oferece estatísticas ao final do monitoramento:

É possível monitorar o tráfego em um host específico. Na figura 4, a flag “dest” indica que o tcpdump monitorará os pacotes enviados para www.google.com.br:

É também possível monitorar uma subrede usando a opção “net”, seguido do IP do host e o range de portas:

É possível realizar pesquisas complexas usando os operadores lógicos “and” (&&), “or” (||) e “not” (!). Como um exemplo um pouco mais complexo, o comando ilustrado na figura 6 investiga os pacotes enviados ou recebidos de google.com.br através da porta 443 (http sobre TLS/SSL):

Até aqui, mostrou-se os pacotes sendo transmitidos, mas não conteúdo deles. O exemplo mostrado na figura 7 utiliza a opção “-A”, que imprime, em código ASCII, o conteúdo de cada pacote transmitido ou recebido na porta 80 (http). Observa-se, contudo, que o conteúdo do pacotes aparece criptografado devido ao uso do

...