tcpdump è un tool comune per il debug delle reti di computer che funziona da riga di comando. Consente all’utente di intercettare pacchetti e trasmissioni sulla rete al quale il computer è collegato
il comando può essere usato con i seguenti parametri:
-i : ascolta solo su un’interfaccia (es:-i eth0) o tutte (es: -i any)
-n : non risolve i nomi.
-nn : non risolve sia nomi che porte.
-X : mostra il contenuto dei pacchetti sia in esadecimale che in ASCII
-v, -vv, -vvv : incrementa il numero delle infomazioni.
-c : mostra solo un certo numero di pacchetti (es: -c 10).
-S : stampa la sequenza di numeri assoluti
-e : ottiene l’header.
-q : mostra poche informazioni sul protocollo.
-w nomefile: salva l’output in un file. Utile per poter essere analizzato successivamente. Aperto con wireshark, per esempio, può fornire informazioni più dettagliate e comprensibili
Le opzioni che non necessitano di un parametro possono essere raggruppate. Per fare un esempio:
tcpdump -i eth0 -nnXvvSeq -c 10
Per visualizzare quello di cui abbiamo effettivamente bisogno possono essere eseguiti diversi tipi filtri. Di seguito qualche esempio
-
- host // mostra solo il traffico di un certo IP (funziona anche con un nome host ma non bisogna usare l’opzione -n)
tcpdump host 1.2.3.4
-
- src, dst // mostra solo il traffico della sorgente o della destinazione
tcpdump src 2.3.4.5
tcpdump dst 3.4.5.6
-
- net // mostra il traffico di un’intera rete
tcpdump net 1.2.3.0/24
-
- proto // funziona solo per tcp, udp e icmp.
tcpdump icmp
-
- port // mostra solo il traffico di una certa porta
tcpdump port 3389
-
- src, dst port // filtro basato su porta sorgente e destinazione
tcpdump src port 1025
tcpdump dst port 3389
Altri esempi più complessi:
Tutto il traffico del protocollo tcp originato da 10.5.2.3 destinato alla porta 3389
tcpdump -nnvvS tcp and src 10.5.2.3 and dst port 3389
Tutto il traffico originato dai due IP che non abbia come destinazione la porta 22
tcpdump -vv src 10.10.10.1 or 10.10.10.2 and not dst port 22
Recent Comments