Tcpdump

De whats Wiki

Contingut 1 PÀGINA DEL PROJECTE 2 DESCRIPCIÓ 3 CARACTERÍSTIQUES 4 OPCIONS INTERESSANTS: 5 FILTRES 5.1 MODIFICADORS 5.2 CONVINACIONS 6 EXEMPLES

PÀGINA DEL PROJECTE

http://www.tcpdump.org/

També hi ha versió per windows: http://windump.polito.it/

DESCRIPCIÓ

Sniffer

CARACTERÍSTIQUES

• Es troba a la majoria de màquines
• Multiplataforma

OPCIONS INTERESSANTS:

Interficie a la que enganxar-se

-i eth0

Desactivar numeros de sequencia relatius (ack inclossos)

-S

No resoldre les ips ni els ports amb els seus noms associats

-nn

Longitud dels paquets. Per defecte, agafa nomès un tros dels paquets, per tant de pen de què estiguem esnifant, els paquets ens quedaran a mitges

-s 1500 (seria lo normal per ethernet (MTU)

L'opció verbose es pot aplicar moltes vegades per obtenir cada vegada més informació:

-vvv (superverbose)

Printar el contingut del paquet

-x

Printar el contingut del paquet i una referencia del contingut en ascii

-X

Per guardar la info en un fitxer

-w fitxer

Per llegir-la

-r fitxer

FILTRES

Els filtres és la part de l'eina més important, o que hem de tenir més per ma. Fins i tot es podria que la seva nomenclatura s'ha convertit en un estàndard.

Un filtre és una expresió que el tcpdump usarà per decidir quin tràfic captura i quin no. En cas de no haber-n'hi cap, l'eina ens capturarà tot el tràfic que arrivi a l'interficie.

MODIFICADORS

Tipo, dir, proto

CONVINACIONS

Per convinar filtres es poden usar: not, and i or

EXEMPLES

Capturar tots els paquets que van o venen de 192.168.1.1

tcpdump host 192.168.1.1

Capturar els paquets que provenne de 192.168.1.1

tcpdump src host 192.168.1.1

Capturar el tràfic destinat a 08:00:50:ee:ec:10

tcpdump ether dst 08:00:50:ee:ec:10

Capturar tot el tràfic de la xarxa 192.168.1.0

tcpdump dst net 192.168.1.0

Capturar tot el tràfic del del protocol udp

tcpdump ip proto \\udp

Capturar tot el tràfic tcp del port 80

tcpdump tcp and port 80

Capturar tot el tràfic tcp del port 22 i 23

tcpdump tcp and \(port 22 or port 23\)

Capturar tot el tràfic menys el del port 80

tcpdump tcp and not port 80

To print the start and end packets (the SYN and FIN packets) of each TCP conversation that involves a non-local host.

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

Tots els paquets SYN

tcpdump 'tcp[13] & 2 != 0'

Tots els paquets ACK

tcpdump 'tcp[13] & 16 != 0'

Tots el paqiets RST

tcpdump 'tcp[13] & 4 != 0'

Tots els paquets FIN

tcpdump 'tcp[13] & 1 != 0'