Guida pratica all’uso di TCPDUMP (con esempi)

Argomenti: ,
Pubblicato il: 14-10-2021 13:39 , Ultimo aggiornamento: 14-10-2021 13:40

tcpdump è il tool di analisi di rete tra i più usati ed importanti in territorio Linux, che permette di monitorare configurazioni di ogni genere sfruttando la linea di comando. Di fatto tcpdump funziona da “decodificatore” di pacchetti, e consente di effettuare operazioni tipiche per un sistemista nella gestione della rete, e sono di seguito elencati i più comuni.

tcpdump va lanciato da linea di comando, con diversi parametri a disposizione a seconda delle necessità, ed in modalità sudo (super amministratore), quindi ad esempio:

sudo tcpdump

Nota per Mac

Nota: essendo un software Unix è disponibile e utilizzabile anche su Mac, fermo restando eventuali restrizioni del sistema operativo non documentate. Se usate tcpdump su un Mac, i nomi delle interfaccie (eth0 ad esempio) potrebbero essere diversi da quelli di Linux. Un primo comando da usare potrebbe essere, ad esempio,

networksetup -listallhardwareports

potrebbe restituirci un quadro generale di tutte quelle disponibili nel nostro computer, ad esempio queste sono quelle del mio Macbook

Hardware Port: Wi-Fi
Device: en0

Hardware Port: Bluetooth PAN
Device: en2

Hardware Port: Thunderbolt 1
Device: en1

Hardware Port: Thunderbolt Bridge
Device: bridge0

Trovare informazioni sui cookie scambiati tra client e server

Ad esempio, in combinazione con il filtro presente nel comando egrep, possiamo scrivere:

sudo tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

Estrarre le password inviate inavvertitamente via POST

Questa è una situazione in genere da rilevare e correggere, dato che le password dovrebbero viaggiare in forma criptata e si prestano, se questo comando funziona, ad abusi di vario genere.

sudo tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

Filtrare solo il traffico icmp

sudo tcpdump -i eth0 icmp

Ciò porta ad un output del genere che “testimonia” l’uso di Gmail, ad esempio:

Password:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:35:14.935557 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32035, seq 0, length 64
13:35:14.965917 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32035, seq 0, length 64
13:35:29.856115 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32803, seq 0, length 64
13:35:29.872292 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32803, seq 0, length 64
13:35:44.831045 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 34339, seq 0, length 64
13:35:44.846229 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 34339, seq 0, length 64

Filtrare solo il traffico Ipv6

tcpdump -nn ip6 proto 6
tcpdump -nn ip6 proto 17

Filtrare solo il traffico UDP

sudo tcpdump -i eth0 udp

Filtrare solo il traffico UDP (su Wireless Mac)

sudo tcpdump -i en0 udp

Filtrare il contenuto delle email inviate

sudo tcpdump -nn -l port 25 | grep -i 'MAIL FROM\|RCPT TO'

Filtrare solo il traffico di un host

sudo tcpdump -i eth0 host 10.10.1.1

Filtrare solo il traffico in ingresso

sudo tcpdump -i eth0 src 10.10.1.1

Filtrare solo il traffico in uscita

sudo tcpdump -i eth0 dst 10.10.1.1

Salvare i contenuti dell’output su file (compatibile con Wireshark ad es.)

sudo tcpdump -i eth0 -s0 -w test.pcap

Video di mattvest da Pixabay

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Guida pratica all’uso di TCPDUMP (con esempi) di Max Headroom su Trovalost.it
Guida pratica all’uso di TCPDUMP (con esempi) (Guide, Assistenza Tecnica, Configurazione Hosting)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost