Subir Archivo

como utilizar o tcpdump.pdf

7

Upload: alberto-moravia

Post on 16-Aug-2015

24 views

Category:

Documents


0 download

Report

TRANSCRIPT

1. UtilizaoO tcpdump necessariamente no precisa de um parmetropara ser executado, voc s precisa estar como root para poderexecut-lo pois o tcpdump ir precisar colocar a sua interfaceem promiscuous mode. Calma! Isso no tem nada ver com apromiscuidade que voc esta pensando, para saber do que setrata visite http://en.wikipedia.org/wiki/Promiscuous_mode.Matando dois coelhos com uma nica tijolada vamos ver umexemplo do tcpdump sem parmetros e aproveitamos paraentender sua sada padro tambm:smith ~ # tcpdumptcpdump: verbose output suppressed, use -vor -vv for full protocol decodelistening on eth0, link-type EN10MB(Ethernet), capture size 96 bytes...21:02:02.579320 IP 192.168.0.1.1921 >smith.zion.ssh: S 4011627552:4011627552(0) win64512 < mss 1460,nop,nop,sackOK>21:02:02.579462 IP smith.zion.ssh >192.168.0.1.1921: S 2154231898:2154231898(0)ack 4011627553 win 5840 < mss1460,nop,nop,sackOK>21:02:02.579707 IP 192.168.0.1.1921 >smith.zion.ssh: . ack 1 win 6451221:02:02.623121 IP smith.zion.ssh >192.168.0.1.1921: P 1:21(20) ack 1 win 584021:02:02.623576 IP 192.168.0.1.1921 >smith.zion.ssh: P 1:29(28) ack 21 win 64492...327 packets captured1038 packets received by filter266 packets dropped by kernelComo no informamos qual interface queramos monitorar elepegou a primeira disponvel, no meu caso a eth0. Podemosnotar isso no trecho listening on eth0. Para selecionar ainterface na qual se deseja capturar os pacotes basta usar oparmetro "-i nome_da_interface", como por exemplo "-i eth1".Na sada padro os campos esto separados por um espao embranco. Como pode ser facilmente notado, o primeiro campo o que eles chamam de timestamp, para ns o horrio em queo pacote foi capturado.O segundo campo informa que o tipo do pacote ethernet foicapturado, no nosso caso o ip. Poderia ser tambm ip6, arp,rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx ounetbeui, mas isso no tem a mnima importncia agora.O terceiro campo so dois em um, famoso"endereo_de_origem.porta_de_origem". No nosso caso, para oprimeiro pacote descrito no exemplo, o endereo de origem "192.168.0.1" e a porta de origem "1921".Bem, o quarto campo no bem um campo mas somente umsinal para indicar o sentido do pacote. Desta forma no temcomo a gente confundir origem com destino.Idntico ao terceiro o quinto campo "endereo_de_destino.porta_de_destino". Como noespecificamos nenhum parmetro o tcpdump converteu oendereo de destino para o nome smith.zion e a porta "22" parassh. Se voc no quiser que o tcpdump fique convertendo osendereos e portas basta utilizar o parmetro "-n". Esse camposempre termina com ":", no sei a sua utilizao mas deve teruma razo lgica para isso, acho que s perguntando para osdesenvolvedores do tcpdump.O quinto campo referente ao bit de controle, no caso doprimeiro pacote "S" quer dizer que um pacote do tipo SYN

(Synchronize). Esse campo poderia ser "R" (Reset), "F" (Finish),"P" (Push), etc. Para saber mais detalhadamente leia a RFC 793(TRANSMISSION CONTROL PROTOCOL).Os demais campos no nos interessa neste momento.Agora que voc j sabe o bsico da sada padro vamos ver umexemplo bem bsico. Digamos que voc queira pegar somenteos pacotes que esto sendo enviados ou recebidos parawww.gooogle.com.br. Para isso basta utilizar a expresso "host"seguido do "nome do host" que deseja filtrar.smith ~ # tcpdump -i eth0 hostwww.google.com.brtcpdump: verbose output suppressed, use -vor -vv for full protocol decodelistening on eth0, link-type EN10MB(Ethernet), capture size 96 bytes10:18:11.483790 IP 192.168.0.2.49286 > brin-f104.google.com.http: S3414458403:3414458403(0) win 5840 < mss1460,sackOK,timestamp 226675 0,nop,wscale 7>10:18:11.495372 IP br-inf104.google.com.http > 192.168.0.2.49286: S2198482267:2198482267(0) ack 3414458404 win5672 < mss 1430,sackOK,timestamp 49295402226675,nop,wscale 6>10:18:11.495555 IP 192.168.0.2.49286 > brin-f104.google.com.http: . ack 1 win 46 Mas cade www.google.com.br? Calma, o google tem vriosservidores e br-in-f104.google.com somente mais um deles.Mas acredite no tcpdump, ele no est mentindo e comogeralmente queremos saber qual o ip e o nmero da portavamos executar agora com o parmetro "-n" para ver o queacontece.smith ~ # tcpdump -i eth0 -n hostwww.google.com.brtcpdump: verbose output suppressed, use -vor -vv for full protocol decodelistening on eth0, link-type EN10MB(Ethernet), capture size 96 bytes13:17:00.795873 IP 192.168.0.2.58605 >209.85.193.104.80: S 4145938788:4145938788(0)win 5840 < mss 1460,sackOK,timestamp 29091300,nop,wscale 7>13:17:00.807891 IP 209.85.193.104.80 >192.168.0.2.58605: S 4200328202:4200328202(0)ack 4145938789 win 5672 < mss1430,sackOK,timestamp 465841422909130,nop,wscale 6>13:17:00.808066 IP 192.168.0.2.58605 >209.85.193.104.80: . ack 1 win 46 Agora no temos mais nomes somente nmeros facilitando aleitura e entendimento. Voc tambm pode usar ips naexpresso ao invs do nome do host como por exemplo:smith ~ # tcpdump -i eth0 -n host192.168.0.1tcpdump: verbose output suppressed, use -vor -vv for full protocol decodelistening on eth0, link-type EN10MB(Ethernet), capture size 96 bytes13:19:50.636347 IP 192.168.0.2 >192.168.0.1: ICMP echo request, id 59421, seq1, length 6413:19:50.636652 IP 192.168.0.1 >192.168.0.2: ICMP echo reply, id 59421, seq 1,length 6413:20:43.622909 IP 192.168.0.2.54940 >192.168.0.1.23: S 3347765906:3347765906(0) win

5840 < mss 1460,sackOK,timestamp 29648390,nop,wscale 7>13:20:43.623236 IP 192.168.0.1.23 >192.168.0.2.54940: R 0:0(0) ack 3347765907 win013:20:47.828000 IP 192.168.0.2.54941 >192.168.0.1.23: S 3403459962:3403459962(0) win5840 < mss 1460,sackOK,timestamp 29658900,nop,wscale 7>13:20:47.828321 IP 192.168.0.1.23 >192.168.0.2.54941: R 0:0(0) ack 3403459963 win013:20:48.620885 arp who-has 192.168.0.1 tell192.168.0.213:20:48.621120 arp reply 192.168.0.1 is-at00:19:5b:b6:ff:5913:21:01.091548 IP 192.168.0.2.44304 >192.168.0.1.80: S 3619763307:3619763307(0) win5840 < mss 1460,sackOK,timestamp 29692060,nop,wscale 7>Mas eu queria somente o acesso via HTTP (porta 80). Semproblemas basta usar a expresso "host" em conjunto com"port" utilizando o operador "and", veja como:smith ~ # tcpdump -i eth0 -n host192.168.0.1 and port 80tcpdump: verbose output suppressed, use -vor -vv for full protocol decodelistening on eth0, link-type EN10MB(Ethernet), capture size 96 bytes13:32:03.548794 IP 192.168.0.2.36993 >192.168.0.1.80: S 1122631006:1122631006(0) win5840 < mss 1460,sackOK,timestamp 31348280,nop,wscale 7>13:32:03.549074 IP 192.168.0.1.80 >192.168.0.2.36993: S 12860500:12860500(0) ack1122631007 win 5840 < mss 1460>13:32:03.549136 IP 192.168.0.2.36993 >192.168.0.1.80: . ack 1 win 5840Voc pode concatenar quantos filtros forem precisos bastausar os operadores "and" ou "or" a cada novo filtro. Essesoperadores tambm podem serem utilizados em conjunto como operador "not" no caso de uma lgica inversa.Na man pagedo tcpdump (http://www.tcpdump.org/tcpdump_man.html)voc ir encontrar todos os filtros possveis, vale a pena daruma olhada. Vejamos um outro exemplo:smith ~ # tcpdump -i eth0 -n dst host192.168.0.1 and not port 80tcpdump: verbose output suppressed, use -vor -vv for full protocol decodelistening on eth0, link-type EN10MB(Ethernet), capture size 96 bytes10:50:37.376405 arp who-has 192.168.0.1 tell192.168.0.210:51:01.670855 IP 192.168.0.2 >192.168.0.1: ICMP echo request, id 57367, seq1, length 6410:51:02.671324 IP 192.168.0.2 >192.168.0.1: ICMP echo request, id 57367, seq2, length 6410:53:55.283902 IP 192.168.0.2.59910 >192.168.0.1.23: S 3501945306:3501945306(0) win5840 < mss 1460,sackOK,timestamp 1922120,nop,wscale 7>Neste exemplo capturamos somente os pacotes com destinoao host 192.168.0.1 exceto com destino a porta 80. Perceba quepor utilizarmos somente o filtro "dst host" foram capturados ospacotes somente em um sentido indicado por ">". Vejamosoutro exemplo bsico especificando o tipo de protocolo e arede:

smith ~ # tcpdump -i eth0 -n net 192.168 andicmptcpdump: verbose output suppressed, use -vor -vv for full protocol decodelistening on eth0, link-type EN10MB(Ethernet), capture size 96 bytes11:21:48.518096 IP 192.168.0.2 >192.168.0.1: ICMP echo request, id 60206, seq1, length 6411:21:48.518404 IP 192.168.0.1 >192.168.0.2: ICMP echo reply, id 60206, seq 1,length 6411:21:49.517104 IP 192.168.0.2 >192.168.0.1: ICMP echo request, id 60206, seq2, length 64Neste exemplo capturamos todos os pacotes icmp da rede192.168.0.0/16. Perceba que para o filtro "net" deve serespecificado somente os octetos referentes a rede, no hcomo especificar mascaras intermedirias alm de 32/16/8/0.Agora o gran finale onde iremos aprender como capturarpacotes filtrando por uma flag especfica do cabealho TCP.Para isso precisamos de uma teoria bsica sobre cabealhoTCP. Vejamos a estrutura do cabealho TCP:01531---------------------------------------------------------------|source port|destination port|---------------------------------------------------------------|sequence number|---------------------------------------------------------------|acknowledgment number|---------------------------------------------------------------| HL | rsvd |C|E|U|A|P|R|S|F|window size|---------------------------------------------------------------|TCP checksum|urgent pointer|---------------------------------------------------------------Comeando pelo octeto 0 o octeto que nos interessa o 13onde esto nossas famosas flags de controle.07|15|23|31----------------|---------------|--------------|---------------| HL | rsvd |C|E|U|A|P|R|S|F|window size|----------------|---------------|--------------|---------------|| 13th octet|||Vejamos este octeto mais de perto:|||---------------||C|E|U|A|P|R|S|F||---------------||7 5 30|

Essas so as famosas flags TCP CWR, ECE, URG, ACK, PSH, RST,SYN e FIN apresentadas exatamente nesta ordem. Perceba quea significncia dos bits cresce da direita para a esquerda. Agoraque j sabemos onde as flags esto digamos que queremospacotes somente com a flag SYN ativada.|C|E|U|A|P|R|S|F||---------------||0 0 0 0 0 0 1 0||---------------||7 6 5 4 3 2 1 0|Traduzindo em binrio nosso octeto 13 deve assumir o valor00000010. Convertendo o mesmo para decimal:765432100*2 + 0*2 + 0*2 + 0*2 + 0*2 + 0*2 + 1*2 +0*2 = 2Temos o nmero 2 em decimal. Agora como podemos falarpara o tcpdump capturar somente os pacotes TCP quepossurem o octeto 13 com o valor decimal 2? Fcil, basta usar ofiltro "tcp[13] == 2". Vejamos no exemplo abaixo:smith ~ # tcpdump -i eth0 -n tcp[13] == 2tcpdump: verbose output suppressed, use -vor -vv for full protocol decodelistening on eth0, link-type EN10MB(Ethernet), capture size 96 bytes11:46:10.978953 IP 192.168.0.2.34670 >209.85.133.18.443: S 1113104022:1113104022(0)win 5840 < mss 1460,sackOK,timestamp 9761730,nop,wscale 7>11:46:20.362403 IP 192.168.0.2.47876 >209.85.193.104.23: S 1282044372:1282044372(0)win 5840 < mss 1460,sackOK,timestamp 9785190,nop,wscale 7>11:46:25.040800 IP 192.168.0.2.54605 >192.168.0.1.23: S 1360875102:1360875102(0) win5840 < mss 1460,sackOK,timestamp 9796880,nop,wscale 7>Neste exemplo capturamos todos os pacotes TCP com a flagSYN ativada (igual 1), porm necessariamente as outras flagsdevem estar desativadas (igual 0). Mas eu quero todos ospacotes com a flag SYN ativada independente do estado dasoutras flags, tem como fazer isso? O tcpdump s no faz caf.Vamos exemplificar para ficar mais fcil. Temos um pacote dotipo SYN-ACK como segue abaixo:|C|E|U|A|P|R|S|F||---------------||0 0 0 1 0 0 1 0||---------------||7 6 5 4 3 2 1 0|O filtro "tcp[13] == 2" no ir capturar o pacote pois neste casoo valor binrio do octeto 13 00010010 (18 em decimal) e no00000010 (2 em decimal). Agora que vem o pulo gato! Para queo tcpdump "olhe" somente para a flag SYN e descarte as demaisvoc deve pedir a ele que faa um AND com o valor binrioreferente a flag SYN. Vejamos graficamente:00010010 (octeto 13 com as flags SYN-ACK)AND 00000010 (valor binrio referente aflag SYN)-------=00000010 (resultado do AND)Perceba mesmo que todas as flags estivessem ativadas (1) oudesativadas (0) o resultado sempre seria 00000010. Traduzindona lngua do tcpdump o filtro ficaria da seguinte forma "tcp[13]

& 2 == 2". Em outras palavras, voc est dizendo o seguinte parao tcpdump: Pegue todos os pacotes TCP, faa um AND entre ovalor decimal 2 com o valor do octeto 13 e me mostre somenteos que resultarem o valor decimal 2.Voc pode utilizar est tcnica para filtrar baseado em qualquerbit do cabealho TCP. Isso extremamente til em umtrobleshooting onde se sabe exatamente os pacotes que sedeseja capturar.


Como Utilizar HTML

Excepções Conceito de Excepção Gestão estruturada de excepções Como utilizar a instrução Try… Catch Como utilizar o bloco Finally Directrizes para o uso

Orientação de como utilizar o publish

Como utilizar o blog

Hangout como utilizar o vídeo no Facebook ?

COMO UTILIZAR IRESIE

Como utilizar seu extintor?

Como utilizar o portal service desk s impress

Treinamento Wifi- Visitante Como utilizar o Portal

Como utilizar o Google?

Como utilizar o Raia Home Factoring

Como utilizar o Photosynthdownload.microsoft.com/.../Como_usar_o_PhotoSynth.pdf · 2018-10-16 · 1 Como utilizar o Photosynth Criar as melhores fotografias em três dimensões começa

Manual como Utilizar o Equipamento Prot Henry - LojaTotalseg.com.br

JN Moura Informática Como Utilizar o Suporte Online

Como Utilizar o EWB_texto - Saladaeletrica.blogsbot.com

Como utilizar google forms

Como Utilizar o E-Mail para Alavancar as Vendas

Como Utilizar Melhor O CartãO De CréDito

Tutorial SimpleFit - como utilizar o Facebook para anúncios

Dexmedetomidina - Como utilizar seguramente?

Como utilizar o Tofu

Como Utilizar o Comando PSMESH Para Criar Fendas

Dicas para utilizar o PDF - servicos.ulbra.br file2 Dicas para utilizar o PDF COMO PESQUISAR NO TEXTO COMO UTILIZAR O ZOOM COMO IMPRIMIR Clique em editar => Localizar ou clique Ctrl

Título: Como configurar o sistema para utilizar o crédito

Como utilizar o cartão cinza

Como utilizar o SlideShare para o seu negócio

Como utilizar o seu respirador descartável?

Ebook - Camera Raw - O que é e como utilizar

Morpheus - Saiba como utilizar

Como utilizar o moodle Moura Informática

Como utilizar o E-learning 1 Guia rápido de bolso · Como utilizar o E-learning 14 Como utilizar o E-learning 15 Avaliações Avaliação de conteúdo online: Avaliação de conteúdo:

Como utilizar o WhatsApp para fechar negócios

Como utilizar o WordPress como ferramenta de marketing e divulgação

Como utilizar o orçamento municipal para fomentar o desenvolvimento local

Criptografia - como utilizar