Home > Articolo Tecnico, Networking > tcpdump – manuale rapido

tcpdump – manuale rapido

January 15th, 2019 Leave a comment Go to comments

tcpdump è un tool comune per il debug delle reti di computer che funziona da riga di comando. Consente all’utente di intercettare pacchetti e trasmissioni sulla rete al quale il computer è collegato

il comando  può essere usato con i seguenti parametri:

-i : ascolta solo su un’interfaccia (es:-i eth0) o tutte (es: -i any)
-n : non risolve i nomi.
-nn : non risolve sia nomi che porte.
-X : mostra il contenuto dei pacchetti sia in esadecimale che in ASCII
-v-vv-vvv : incrementa il numero delle infomazioni.
-c : mostra solo un certo numero di pacchetti (es: -c 10).
-S : stampa la sequenza di numeri assoluti
-e : ottiene l’header.
-q : mostra poche informazioni sul protocollo.
-w nomefile: salva l’output in un file. Utile per poter essere analizzato successivamente. Aperto con wireshark, per esempio, può fornire informazioni più dettagliate e comprensibili

 

Le opzioni che non necessitano di un parametro possono essere raggruppate. Per fare un esempio:
tcpdump -i eth0 -nnXvvSeq -c 10

Per visualizzare quello di cui abbiamo effettivamente bisogno possono essere eseguiti diversi tipi  filtri. Di seguito qualche esempio

    • host // mostra solo il traffico di un certo IP (funziona anche con un nome host ma non bisogna usare l’opzione -n)
      tcpdump host 1.2.3.4
    • src, dst // mostra solo il traffico della sorgente o della destinazione
      tcpdump src 2.3.4.5
      tcpdump dst 3.4.5.6
    • net // mostra il traffico di un’intera rete
      tcpdump net 1.2.3.0/24
    • proto // funziona solo per tcp, udp e icmp.
      tcpdump icmp
    • port // mostra solo il traffico di una certa porta
      tcpdump port 3389
    • src, dst port // filtro basato su porta sorgente e destinazione
      tcpdump src port 1025
      tcpdump dst port 3389

 

Altri esempi più complessi:

Tutto il traffico del protocollo tcp originato da 10.5.2.3 destinato alla porta 3389
tcpdump -nnvvS tcp and src 10.5.2.3 and dst port 3389

Tutto il traffico originato dai due IP che non abbia come destinazione la porta 22
tcpdump -vv src 10.10.10.1 or 10.10.10.2 and not dst port 22

Categories: Articolo Tecnico, Networking Tags:
  1. No comments yet.
  1. No trackbacks yet.
You must be logged in to post a comment.