O Relatório Gerência de Redes
Por: brunojimez • 26/2/2023 • Relatório de pesquisa • 1.116 Palavras (5 Páginas) • 67 Visualizações
Relatório gerência de redes
Tcpdump
Bruno Oliveira Costa Jimez
Jean Fernandes Flores
Faculdade de Cieˆncias Exatas e Tecnologia (FACET) – Universidade Federal da Grande Dourados (UFGD)
Caixa Postal 533 – 79804970 – Mato Grosso Do Sul – MS – Brasil
{Jimez,Bruno}bruno.jimez052@academico.ufgd.edu.br
Abstract. This report deals with tcpdump, a tool used to monitor packets transmitted over a computer network. tcpdump is an excellent tool for capturing and analyzing network packets, recommended for professionals who need to monitor and maintain a computer network, as well as students who want to understand in depth how the TCP/IP protocol stack works. tcpdump runs on the command line, is available on several operating systems, such as Linux, BSD, OS X, AIX and others. The text also presents the tcpdump manual, with its options and descriptions, as well as a use case study with several commands used to capture traffic. The text ends with a brief description of how to install tcpdump on Debian-based systems and syntax for using the tool.
Resumo. Este relatório trata sobre o tcpdump, uma ferramenta utilizada para monitorar os pacotes trafegados em uma rede de computadores. O tcpdump é uma excelente ferramenta para realizar captura e análise de pacotes de rede, recomendada para profissionais que precisem realizar monitoramento e manutenção em uma rede de computadores, além de estudantes que queiram entender a fundo o funcionamento da pilha de protocolos TCP/IP. O tcpdump roda na linha de comandos, está disponível em diversos sistemas operacionais, como Linux, BSD, OS X, AIX e outros. O texto também apresenta o manual do tcpdump, com suas opções e descrições, bem como um estudo de caso de uso com diversos comandos utilizados para a captura de tráfego. O texto se encerra com uma breve descrição de como instalar o tcpdump em sistemas baseados em Debian e sintaxe para utilização da ferramenta.
- Tcpdump
O tcpdump é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de computadores, sendo amplamente utilizada. Foi originalmente escrita em 1988 por Van Jacobson, Sally Floyd, Vern Paxson e Steven McCanne, no Laboratório Nacional Lawrence Berkeley e publicada sob a licença BSD (MOTA FILHO, 2013; Melo, 2017).
O tcpdump é uma excelente ferramenta para realizar captura e análise de pacotes de rede, recomendada para profissionais que precisem realizar monitoramento e manutenção em uma rede de computadores, além de estudantes que queiram entender a fundo o funcionamento da pilha de protocolos TCP/IP. O site oficial do tcpdump, e também da biblioteca libpcap (sobre o qual ele é baseado), é o www.tcpdump.org (McCanne, 2011).
O tcpdump, que é software livre, roda na linha de comandos, estando disponível em diversos sistemas operacionais, como Linux, BSD, OS X, AIX e outros. Ele faz uso da biblioteca libpcap para realizar a captura de pacotes, e existe uma versão da ferramenta para Windows, chamada de WinDump, que usa a biblioteca WinPcap.
Neste trabalho, focaremos no tcpdump em si, usando para isso um sistema Linux (Ubuntu). Qualquer outro sistema Linux irá servir para testar os conceitos mostrados.
- Manual do tcpdump
- Nome: tcpdump - captura o tráfego em uma rede.
- Sinopse: tcpdump [ -adeflnNOpqRStvxX ] [ -c contagem ] [ -F arquivo ]
[ -i interface ] [ -m módulo] [ -r arquivo ] [ -s tamanho ] [ -T tipo ]
[ -w arquivo ] [ -E algo:secret ] [ expressão ]
- Descrição: Tcpdump imprime a saída dos cabeçalhos dos pacotes na interface de rede que combinam com a expressão booleana.
- No Linux: Você necessita ser root ou ter este instalado com setuid para root
- Opções:
- -a Espera para converter endereços de rede e broadcast para nomes
- -c Sai após receber contagem de pacotes
- -d Captura os pacotes compilados com o código do pacote em um formato humanamente legível para a saída padrão e sai
- -dd Captura os pacotes com o código do pacote como um fragmento de programa em C
- -ddd Captura os pacotes com o código do pacote como números decimais (precedidos de um contador)
- -e Imprime a camada de link do cabeçalho na linha capturada
- -E Use algo:secreto para decriptar pacotes IPsec ESP.Algoritmos costumam ser des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc, ou nenhum. O padrão é des-cbc.
A habilidade de descriptar pacotes só estará presente se o tcpdump for compilado com suporte a criptografia habilitado. secreto é o texto ASCII para a chave ESP secreta.
- Estudo de caso de uso do tcpdump
Para executar o tcpdump precisaremos de privilégios de administrador no sistema.
- Instalação:
- Para instalar o tcpdump no Ubuntu Linux, ou em sistemas baseados em Debian, use o comando a seguir no terminal:
- sudo apt-get install tcpdump
- Sintaxe:
- Tcpdump [opções]
3.2 Comandos usados da demonstração prática
- Capturar somente o tráfego a partir da interface eth0:
- sudo tcpdump -i eth0
- Gravar os pacotes capturados em um arquivo de nome captura.cap:
- sudo tcpdump -w captura.cap
- Ler os pacotes capturados a partir do arquivo captura.cap:
- sudo tcpdump -r captura.cap
- Capturar somente o tráfego associado ao protocolo ICMP, na interface eth0:
- sudo tcpdump -i eth0 icmp
- Capturar somente o tráfego associado ao protocolo ARP, na interface eth0:
- sudo tcpdump -i eth0 arp
- Capturar somente 50 pacotes a partir da interface eth0:
- sudo tcpdump -c 50 -i eth0
- Mostrar os pacotes capturados tanto em ASCII quanto em HEX, incluindo cabeçalho Ethernet:
- sudo tcpdump -XX -i eth0
- Capturar pacotes mostrando IPs em vez de nomes:
- sudo tcpdump -n -i eth0
- Capturar somente pacotes maiores que 100 bytes:
- sudo tcpdump -i eth0 greater 100
- Capturar somente pacotes destinados à porta 53:
- sudo tcpdump -i eth0 port 53
- Usando filtros de condições: Capturar pacotes que usam o protocolo e cujo endereço de destino seja 64.233.186.121
- sudo tcpdump -i eth0 dst 64.233.186.121 and icmp
- Capturar somente os pacotes ICMP Echo Request enviados pelo programa ping da máquina local, cujo IP é 192.169.1.105, para um endereço remoto, como 8.8.8.8
- sudo tcpdump -i eth0 icmp and src 192.168.1.105 and dst 8.8.8.8
6. Refereˆncias
Comparative study of two most popular packet sniffing tools-Tcpdump and Wireshark. IEEE Xplore. 2017.
McCanne, Steve (13 de junho de 2011). libpcap: An Architecture and Optimization Methodology for Packet Capture - Sharkfest 2011 (PDF). SharkFest. Consultado em 6 de agosto de 2017. Arquivado do original(PDF) em 24 de outubro de 2017.
...