Guida pratica all’uso di TCPDUMP (con esempi)

Aggiornato il: 26-06-2022 22:03
tcpdump è il tool di analisi di rete tra i più usati ed importanti in territorio Linux, che permette di monitorare configurazioni di ogni genere sfruttando la linea di comando. Di fatto tcpdump funziona da “decodificatore” di pacchetti, e consente di effettuare operazioni tipiche per un sistemista nella gestione della rete, e sono di seguito elencati i più comuni.

tcpdump va lanciato da linea di comando, con diversi parametri a disposizione a seconda delle necessità , ed in modalità  sudo (super amministratore), quindi ad esempio:

sudo tcpdump

Nota per Mac

Nota: essendo un software Unix è disponibile e utilizzabile anche su Mac, fermo restando eventuali restrizioni del sistema operativo non documentate. Se usate tcpdump su un Mac, i nomi delle interfaccie (eth0 ad esempio) potrebbero essere diversi da quelli di Linux. Un primo comando da usare potrebbe essere, ad esempio,

networksetup -listallhardwareports

potrebbe restituirci un quadro generale di tutte quelle disponibili nel nostro computer, ad esempio queste sono quelle del mio Macbook

Hardware Port: Wi-Fi
Device: en0

Hardware Port: Bluetooth PAN
Device: en2

Hardware Port: Thunderbolt 1
Device: en1

Hardware Port: Thunderbolt Bridge
Device: bridge0

Trovare informazioni sui cookie scambiati tra client e server

Ad esempio, in combinazione con il filtro presente nel comando egrep, possiamo scrivere:

sudo tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

Estrarre le password inviate inavvertitamente via POST

Questa è una situazione in genere da rilevare e correggere, dato che le password dovrebbero viaggiare in forma criptata e si prestano, se questo comando funziona, ad abusi di vario genere.

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919
sudo tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

Filtrare solo il traffico icmp

sudo tcpdump -i eth0 icmp

Ciò porta ad un output del genere che “testimonia” l’uso di Gmail, ad esempio:

Password:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:35:14.935557 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32035, seq 0, length 64
13:35:14.965917 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32035, seq 0, length 64
13:35:29.856115 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32803, seq 0, length 64
13:35:29.872292 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32803, seq 0, length 64
13:35:44.831045 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 34339, seq 0, length 64
13:35:44.846229 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 34339, seq 0, length 64

Filtrare solo il traffico Ipv6

tcpdump -nn ip6 proto 6
tcpdump -nn ip6 proto 17

Filtrare solo il traffico UDP

sudo tcpdump -i eth0 udp

Filtrare solo il traffico UDP (su Wireless Mac)

sudo tcpdump -i en0 udp

Filtrare il contenuto delle email inviate

sudo tcpdump -nn -l port 25 | grep -i 'MAIL FROM\|RCPT TO'

Filtrare solo il traffico di un host

sudo tcpdump -i eth0 host 10.10.1.1

Filtrare solo il traffico in ingresso

sudo tcpdump -i eth0 src 10.10.1.1

Filtrare solo il traffico in uscita

sudo tcpdump -i eth0 dst 10.10.1.1

Salvare i contenuti dell’output su file (compatibile con Wireshark ad es.)

sudo tcpdump -i eth0 -s0 -w test.pcap

Video di mattvest da Pixabay



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
5/5 (2)

Ti piace questo articolo? Vota e fammelo sapere.

Guida pratica all’uso di TCPDUMP (con esempi)
SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919
tcpdump esempio mac
Torna su