Pular para o conteúdo principal

tcpdump: análise segura de rede!

Análise de tráfego de rede

O tcpdump é um analisador de tráfego (sniffer) de rede em modo texto mais famoso que existe, utiliza a biblioteca libpcap e facilita a vida dos administradores de rede nos problemas do dia-a-dia.
Modo texto? Por quê diabos tenho que ficar decifrando texto puro se oWireshark já faz a análise e exibe os dados organizados pra mim?

Primeiro, como já dito, o Wireshark "tenta" capturar todos os pacotes de rede, porém ele é instável em tempo real, dando pau e fechando sem motivo nenhum durante algumas coletas.
Segundo, funciona basicamente na interface gráfica. Muitas vezes temos só um terminal para realizar tal captura de pacotes.
Terceiro, ele é vulnerável. Isso mesmo, no próprio site da ferramenta temos alguns exemplos de vulnerabilidades corrijidas e no SecurityFocus selecionando o Wireshark no campo Vendors, podemos ver outras coisinhas interessantes.
E quarto, não se desespere, podemos gerar arquivos de texto com o tcpdump e visualizá-los com o Wireshark, obtendo o uso perfeito das duas ferramentas.

COMANDOS:
-c N: Finaliza após N pacotes capturados.
-D: Exibe as interfaces de rede onde o tcpdump pode capturar os pacotes.
-F <file>: Usa um arquivo com as expressões a serem filtradas.
-i <interface>: Interface usada na coleta. Usa-se any para todas.
-n: Não realiza resolução de nomes.
-v: Modo verbose. Usar -vv -vvv para mais verbose!
-w <arquivo>: Salva a coleta em um arquivo externo.
-r <arquivo>: Realiza a leitura de um arquivo salvado com a opção -w.

FILTROS:
Temos também os filtros, que são usados para restringir o registro da coleta de pacotes. Como ambos programas fazem a utilização da biblioteca libpcap, os filtros são quase os mesmos.
src host: Define endereço IP de origem.
dst host: Define endereço IP de destino.
src port: Define porta de origem (pode-se usar também nomes, como ftp).
dst port: Define porta de destino (pode-se usar também nomes, como ftp).
ether dst: Define MAC de origem.
ether src: Define MAC de destino.

A utilização de operadores lógicos and, not e or também está presente para a construação de um filtro mais complexo.

EXEMPLO
Agora vamos realizar um exemplo básico de análise segura e organizada, capturar os dados de uma comunicação ICMP com o tcpdump e visualizá-los com o Wireshark.

# tcpdump -i wlan0 src host 192.168.1.4 and dst host 192.168.1.3 and icmp -w icmp.pcap
Utilizando a interface wlan0, captura a comunicação ICMP entre o IP de origem 192.168.1.4 e o destino 192.168.1.3, armazenando-os em um arquivo chamado icmp.pcap.

# tcpdump -r icmp.pcap
Lê o arquivo, mostrando os pacotes capturados e seus detalhes (protocolo, id, sequência, tamanho etc).

Para visualizar o arquivo no Wireshark, só ir no menu File > Open e selecionar o arquivo salvo. Voilà, temos nossa captura realizada de forma segura o muito bem apresentada.


É isso aí pessoal. Nesse post usei como referência o manual oficial do tcpdump e esta página que contém diversos filtros e exemplos, se quer enriquecer seu conhecimento a leitura é indispensável.
Espero que tenham aproveitado a leitura, se houve algum equívoco, me corrijam. Abraços e até a próxima!

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Realizar DDos Attack usando Slowloris

Salve esse arquivo como "slowloris.pl". Download do script. http://pastebin.com/2M4ZAHpz Abra o terminal e siga os seguintes comandos:   cd Desktop                    ( o local deve ser substituído pelo local do arquivo, nesse caso se encontra no Desktop ) chmod +x slowloris.pl perl ./slowloris.pl -dns www.target.com -port 80 -timeout 1 -num 1000 -cache 1- Substitua a URL pelo endereço do alvo. 2- Nesse caso será disparado 1000 pacotes a cada 1 segundo.
Postar um comentário
Leia mais

WiFiPhisher - Ataques Automatizados de Phishing Contra Redes Wi-Fi

Um pesquisador de segurança grego, chamado George Chatzisofroniou, desenvolveu uma ferramenta de engenharia social WiFi que é projetado para roubar credenciais de usuários de redes Wi-Fi segura. A ferramenta, batizada WiFiPhisher, foi lançado no site do desenvolvimento de software GitHub no domingo e está disponível gratuitamente para os usuários.   "É um ataque de engenharia social que não usa força bruta, em contraste com outros métodos. É uma maneira fácil de obter senhas WPA", disse George Chatzisofroniou. No entanto, existem várias ferramentas de hacker disponíveis na Internet que pode cortar de uma rede Wi-Fi segura, mas esta ferramenta automatiza múltipla Wi-Fi técnicas que o tornam um pouco diferente dos outros hackers. Ferramenta WiFiPhisher usa ataque "gêmeo do mal " cenário. O mesmo que o gêmeo do mal, a ferramenta cria primeiro um ponto de acesso sem fio falso (AP) mascarar-se como o legítimo Wi-Fi AP. Em seguida, ele dirige uma negação de
3 comentários
Leia mais

Como encontrar a WPS Routers Habilitados - Kali Linux

Como você poderia encontrar WPS Routers ativado?  Sério é muito fácil de encontrar WPS habilitado roteadores, mas depois que eu postei o meu tutorial sobre como cortar o WPA / WPA2 WiFi Protected muitos povos me enviado mensagens para saber como eles poderiam encontrar WPS habilitado router? por isso é muito simples e limitado a um comando único sim, vamos usar o comando de lavagem para esse fim. O comando que podemos utilizar para encontrar WPS habilitado roteadores está abaixo. wash -i mon0 -C Tenha em mente que o "C" neste alfabeto "C" deve ser a capital Também tenha em mente antes de entrar este comando por favor ligar o interface de moniter ou este comando não funciona mais assim para que você moniter tipo de interface o comando abaixo primeiro e depois tentar digitalizar routers WPS habilitados. airmon-ng start wlan0  Agora isso vai lhe dar todos os roteadores que possuem botão WPS / push ativado em cima delas e você pode tentar cortar-lhes a seu p
Postar um comentário
Leia mais