Em nosso artigo anterior, vimos 20 comandos Netstat para monitorar ou gerenciar uma rede Linux. Esta é nossa outra série contínua de ferramenta de farejador de pacote chamada tcpdump. Aqui, vamos mostrar como instalar o tcpdump e, em seguida, discutiremos e cobriremos alguns comandos úteis com seus exemplos práticos.
tcpdump é um sniffer de pacotes de linha de comando mais poderoso e amplamente usado ou ferramenta analisadora de pacote que é para capturar ou filtrar pacotes TCP / IP recebidos ou transferidos por uma rede em uma interface específica. Ele está disponível na maioria dos sistemas operacionais baseados em Linux / Unix. O tcpdump também nos dá a opção de salvar os pacotes capturados em um arquivo para análise futura. Ele salva o arquivo em um formato pcap, que pode ser visualizado pelo comando tcpdump ou uma ferramenta baseada em GUI de código aberto chamada Wireshark (Network Protocol Analyzier) que lê arquivos no formato pcap tcpdump.
Como instalar o tcpdump no Linux
Muitas das distribuições do Linux já vêm com a ferramenta tcpdump, se no caso de você não a tiver nos sistemas, você pode instalá-la usando o seguinte comando Yum.
# yum install tcpdump
Depois que a ferramenta tcpdump for instalada nos sistemas, você pode continuar a navegar a seguir comandos com seus exemplos.
1. Capturar pacotes de interface específica
A tela de comando irá rolar até você interromper e quando executarmos o comando tcpdump, ele irá capturar de todas as interfaces, no entanto, com o switch -i captura apenas da interface desejada.
2. Capture apenas o número N de pacotes
Quando você executa o comando tcpdump, irá capturar todos os pacotes para a interface especificada, até que você clique no botão cancelar. Mas usando a opção -c, você pode capturar um número especificado de pacotes. O exemplo abaixo irá capturar apenas 6 pacotes.
3. Imprimir pacotes capturados em ASCII
O comando tcpdump abaixo com a opção -A exibe o pacote no formato ASCII. É um formato de esquema de codificação de caracteres.
4. Exibir interfaces disponíveis
Para listar o número de interfaces disponíveis no sistema, execute o seguinte comando com a opção -D.
5. Exibir pacotes capturados em HEX e ASCII
O comando a seguir com a opção -XX captura os dados de cada pacote, incluindo seu cabeçalho de nível de link em formato HEX e ASCII.
6. Capture e salve pacotes em um arquivo
Como dissemos, esse tcpdump tem um recurso para capturar e salvar o arquivo no formato .pcap, para fazer isso basta executar o comando com a opção -w.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Ler o arquivo de pacotes capturados
Para ler e analisar o arquivo de pacote 0001.pcap capturado, use o comando com a opção -r, conforme mostrado abaixo.
8. Capture pacotes de endereço IP
Para capturar pacotes para uma interface específica, execute o seguinte comando com a opção -n.
9. Capture apenas pacotes TCP.
Para capturar pacotes com base na porta TCP, execute o seguinte comando com a opção tcp.
10. Capture Packet from Specific Port
Digamos que você queira capturar pacotes para a porta 22 específica, execute o comando abaixo especificando o número da porta 22 conforme mostrado abaixo.
11. Capturar pacotes do IP de origem
Para capturar pacotes do IP de origem, digamos que você queira capturar pacotes para 192.168.0.2, use o comando a seguir.
12. Capturar pacotes do IP de destino
Para capturar pacotes do IP de destino, digamos que você queira capturar pacotes para 50.116.66.139, use o seguinte comando.