tcpdump è il tool di analisi di rete tra i più usati ed importanti in territorio Linux, che permette di monitorare configurazioni di ogni genere sfruttando la linea di comando. Di fatto tcpdump funziona da “decodificatore” di pacchetti, e consente di effettuare operazioni tipiche per un sistemista nella gestione della rete, e sono di seguito elencati i più comuni.
tcpdump va lanciato da linea di comando, con diversi parametri a disposizione a seconda delle necessità , ed in modalità sudo (super amministratore), quindi ad esempio:
sudo tcpdump
Nota per Mac
Nota: essendo un software Unix è disponibile e utilizzabile anche su Mac, fermo restando eventuali restrizioni del sistema operativo non documentate. Se usate tcpdump su un Mac, i nomi delle interfaccie (eth0 ad esempio) potrebbero essere diversi da quelli di Linux. Un primo comando da usare potrebbe essere, ad esempio,
networksetup -listallhardwareports
potrebbe restituirci un quadro generale di tutte quelle disponibili nel nostro computer, ad esempio queste sono quelle del mio Macbook
Hardware Port: Wi-Fi
Device: en0Hardware Port: Bluetooth PAN
Device: en2Hardware Port: Thunderbolt 1
Device: en1Hardware Port: Thunderbolt Bridge
Device: bridge0
Trovare informazioni sui cookie scambiati tra client e server
Ad esempio, in combinazione con il filtro presente nel comando egrep, possiamo scrivere:
sudo tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'
Estrarre le password inviate inavvertitamente via POST
Questa è una situazione in genere da rilevare e correggere, dato che le password dovrebbero viaggiare in forma criptata e si prestano, se questo comando funziona, ad abusi di vario genere.
sudo tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"
Filtrare solo il traffico icmp
sudo tcpdump -i eth0 icmp
Ciò porta ad un output del genere che “testimonia” l’uso di Gmail, ad esempio:
Usa il codice
189ed7ca010140fc2065b06e3802bcd5
per ricevere 5 € dopo l'iscrizione
Password:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:35:14.935557 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32035, seq 0, length 64
13:35:14.965917 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32035, seq 0, length 64
13:35:29.856115 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32803, seq 0, length 64
13:35:29.872292 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32803, seq 0, length 64
13:35:44.831045 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 34339, seq 0, length 64
13:35:44.846229 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 34339, seq 0, length 64
Filtrare solo il traffico Ipv6
tcpdump -nn ip6 proto 6 tcpdump -nn ip6 proto 17
Filtrare solo il traffico UDP
sudo tcpdump -i eth0 udp
Filtrare solo il traffico UDP (su Wireless Mac)
sudo tcpdump -i en0 udp
Filtrare il contenuto delle email inviate
sudo tcpdump -nn -l port 25 | grep -i 'MAIL FROM\|RCPT TO'
Filtrare solo il traffico di un host
sudo tcpdump -i eth0 host 10.10.1.1
Filtrare solo il traffico in ingresso
sudo tcpdump -i eth0 src 10.10.1.1
Filtrare solo il traffico in uscita
sudo tcpdump -i eth0 dst 10.10.1.1
Salvare i contenuti dell’output su file (compatibile con Wireshark ad es.)
sudo tcpdump -i eth0 -s0 -w test.pcap
Usa il codice
189ed7ca010140fc2065b06e3802bcd5
per ricevere 5 € dopo l'iscrizione
👇 Contenuti da non perdere 👇
- Internet 💻
- Marketing & SEO 🌪
- Reti 💻
- Scrivere 🖋
- Spiegoni artificiali 🎓
- Svago 🎈
- 💬 Il nostro canale Telegram: iscriviti
- 🟢 Come registrare un dominio
- 🟠 ThemeForest: come chiedere il rimborso a Envato
- 🟢 Che cos’è l’IMEI del telefono e a cosa serve