(o melhor sniffer de rede do mundo)
O "tcpdump"
- Modo Promiscuo: faz com que a interface de rede capture todos os pacotes que passarem pelo meio (ex: cabo de rede) de comunicao. Num modo normal de operacao de uma interface de rede, caso algum pacote passe pelo meio de comunicacao, ele so sera aberto totalmente se forem enderecados (endereco MAC) para o computador, senao o pacote sera descartado. Em outras palavras, o subsistema de rede do Sistema Operacional abre parcialmente todos os pacotes que passarem pelo meio, verificando no quadro Ethernet (se estiver numa LAN) o campo "Endereco de Destino". Se nao for enderecado para o computador, o pacote [e descartado. Ja no modo promiscuo, mesmo que o pacote nao seja enderecado para ele, o subsistema de rede nao vai descarta-lo. O tcpdump, por padrao, coloca a interface de rede no modo promiscuo;
- :
Chaves
-S (mostra os numeros de sequencia TCP absolutos/verdadeiros, em vez de relativos/abreviados. A idea dessa opcao [e para que o TCPDUMP nao customize/mascare os numeros de sequencia. Esse mascaramento (numeros relativos) serve somente para facilitar/ajudar a visualizacao da pessoa que esta fazendo uso desse sniffer, pois ele vera cada conexao iniciando com o numero sequencia "1" (na verdade, o TCPDUMP no inicio da conexao (SYN e SYN-ACK) inicia com o numero absoluto, so que a partir dai ele ja faz os calculos para que os numeros fiquem como se estivessem sendo iniciados com o valor 1). Contudo, ao usar o "-S" os numeros de sequencia aparecem como eles sao realmente, em vez de aparecer de uma forma "amigavel" para o usuario. Inclusive, se pode notar que ao usar essa chave, o numero de sequencia fica bem maior. Na verdade, quando se captura pacotes com numeros de sequencia relativos, eles iniciam com o numero 1. Obs: mesmo sendo uma captura de uma conexao ja existente, ao executar o TCPDUMP, o numero de sequencia tambem sera "1". O WIRESHARK, por padrao, tambem mostra o numero de sequencia relativo. Pelas praticas que tenho, o numero de sequencia [e sempre crescente, ou seja, a cada nova conexao, sao adicionados numeros de sequencia subsequente. Ex: se houver uma conexao com o numero de sequencia 222222222, uma outra nova conexao tera um valor acima desse numero, por exemplo, 222222223. Ja quando usamos numeros relativos, para cada nova conexao, os numeros de sequencia iniciam/sao mostrados com o valor 1. Tambem [e importante frisar que os numeros de sequencia sao idependente do protocolo usado na camada de aplicacao)
-A (mostra cada pacote no formato ASCII, menos o cabecalho de camada de enlace (ex: o cabecalho ethernet). Chave interessante para captura de paginas web)
-D (ex: tcpdump -D. Mostra as interfaces de rede que o tcpdump consegue monitorar)
Habilitando rede
Arquivo de configuração
Referências Bibliográgicas