Sniffing com Tcpdump utilizando filtros

TCPDUMP é um sniffer de rede por linha de comando, sendo uma alternativa ao wireshark, ou quando é necessário fazer um script para capturar algum tráfego de rede. Enfim uma ferramenta muito útil para administrar uma rede, a qual auxilia a descobrir erros de configuração através da analise do tráfego, conhecer o tráfego existente e tomar medidas administrativas para melhorar a performance da rede.
Executando o tcpdump sem nenhuma opção, será capturado todo o tráfego de rede, dificultando a analise do conteúdo, por isso é interessante o uso de expressões.
Com Tcpdump podemos usar expressões para filtrar o tráfego que desejamos capturar, os filtros podem ser aplicados por tipo, direção, protocolo, usando operadores, …

Alguns exemplos:

Mostra somente o tráfego da rede 192.168 que estiver passando na interface eth0

localhost ~/# tcpdump -i eth0 -p net 192.168

Mostra todo o tráfego da rede 192.168 com destino a porta 80

localhost ~/# tcpdump -i eth0 -p net 192.168 and dst port 80

Mostra somente os pacotes icmp na rede

localhost ~/# tcpdump -i eth0 -p icmp

Mostra o tráfego na rede 192.168 com exceção da porta 80

localhost ~/# tcpdump -i eth0 -p net 192.168 and not port 80

Os exemplos acima demonstram algumas combinações, sendo possível fazer muito mais. Para obter mais informações veja o documento TCPDUMP filters.

Se o artigo foi útil para você, deixe um comentário. Será de grande estimulo para manter o blog.