TCPDUMP – Analisando tráfego de rede


Olá pessoal, segue um pouco mais sobre uma poderosa ferramenta de analise de trafego o TCPDUMP uso ele diariamente por isso vou mostrar um pouco mais sobre ele aqui, ele traz realmente um nível de informação muito detalhado, no meu caso quando me pedem uma liberação de um site passo pelo TCPDUMP para ver todos os URL’s que o site chama para poder fazer a liberação completa do site.

Aqui usei no meu computador pessoal para fins de demonstração, a configuração que eu usei foi: Linux ubuntuOS 4.8.0-34-generic #36-Ubuntu SMP Wed Dec 21 17:24:18 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

Instalação no Ubuntu: sudo apt-get install tcpdump

Alguns dados mais detalhados sobre o TCPDUMP:
tcpdump version 4.7.4
libpcap version 1.7.4
OpenSSL 1.0.2g 1 Mar 2016
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqRStuUvxX#] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
[ -i interface ] [ -j tstamptype ] [ -M secret ] [ –number ]
[ -Q in|out|inout ]
[ -r file ] [ -s snaplen ] [ –time-stamp-precision precision ]
[ –immediate-mode ] [ -T type ] [ –version ] [ -V file ]
[ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z command ]
[ -Z user ] [ expression ]

Alguns exemplos de uso do TCPDUMP

Monitorando tudo que sai pela minha interface de rede enp0s25 com destino ao meu Gateway
sudo tcpdump -i enp0s25 dst 192.168.15.1 -nn

Monitorando o tráfego que vem de 192.168.15.1 para o meu computador
sudo tcpdump -i enp0s25 src host 192.168.15.1

Monitorando a entrada|saída pela porta 443
sudo tcpdump port 443