Al momento stai visualizzando Guida pratica all’uso di TCPDUMP (con esempi)

Guida pratica all’uso di TCPDUMP (con esempi)

  • Autore dell'articolo:
  • Categoria dell'articolo:Guide

tcpdump è il tool di analisi di rete tra i più usati ed importanti in territorio Linux, che permette di monitorare configurazioni di ogni genere sfruttando la linea di comando. Di fatto tcpdump funziona da “decodificatore” di pacchetti, e consente di effettuare operazioni tipiche per un sistemista nella gestione della rete, e sono di seguito elencati i più comuni.

tcpdump va lanciato da linea di comando, con diversi parametri a disposizione a seconda delle necessità , ed in modalità  sudo (super amministratore), quindi ad esempio:

sudo tcpdump

Nota per Mac

Nota: essendo un software Unix è disponibile e utilizzabile anche su Mac, fermo restando eventuali restrizioni del sistema operativo non documentate. Se usate tcpdump su un Mac, i nomi delle interfaccie (eth0 ad esempio) potrebbero essere diversi da quelli di Linux. Un primo comando da usare potrebbe essere, ad esempio,

Pubblicità - Continua a leggere sotto :-)

(Tophost) l' hosting web più economico - Usa il coupon sconto: 7NSS5HAGD5UC2

networksetup -listallhardwareports

potrebbe restituirci un quadro generale di tutte quelle disponibili nel nostro computer, ad esempio queste sono quelle del mio Macbook

Hardware Port: Wi-Fi
Device: en0

Hardware Port: Bluetooth PAN
Device: en2

Hardware Port: Thunderbolt 1
Device: en1

Hardware Port: Thunderbolt Bridge
Device: bridge0

Trovare informazioni sui cookie scambiati tra client e server

Ad esempio, in combinazione con il filtro presente nel comando egrep, possiamo scrivere:

sudo tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

Estrarre le password inviate inavvertitamente via POST

Questa è una situazione in genere da rilevare e correggere, dato che le password dovrebbero viaggiare in forma criptata e si prestano, se questo comando funziona, ad abusi di vario genere.

sudo tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

Filtrare solo il traffico icmp

sudo tcpdump -i eth0 icmp

Ciò porta ad un output del genere che “testimonia” l’uso di Gmail, ad esempio:

Pubblicità - Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l'iscrizione

Password:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:35:14.935557 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32035, seq 0, length 64
13:35:14.965917 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32035, seq 0, length 64
13:35:29.856115 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32803, seq 0, length 64
13:35:29.872292 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32803, seq 0, length 64
13:35:44.831045 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 34339, seq 0, length 64
13:35:44.846229 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 34339, seq 0, length 64

Filtrare solo il traffico Ipv6

tcpdump -nn ip6 proto 6
tcpdump -nn ip6 proto 17

Filtrare solo il traffico UDP

sudo tcpdump -i eth0 udp

Filtrare solo il traffico UDP (su Wireless Mac)

sudo tcpdump -i en0 udp

Filtrare il contenuto delle email inviate

sudo tcpdump -nn -l port 25 | grep -i 'MAIL FROM\|RCPT TO'

Filtrare solo il traffico di un host

sudo tcpdump -i eth0 host 10.10.1.1

Filtrare solo il traffico in ingresso

sudo tcpdump -i eth0 src 10.10.1.1

Filtrare solo il traffico in uscita

sudo tcpdump -i eth0 dst 10.10.1.1

Salvare i contenuti dell’output su file (compatibile con Wireshark ad es.)

sudo tcpdump -i eth0 -s0 -w test.pcap

Video di mattvest da Pixabay

Pubblicità - Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l'iscrizione

👇 Contenuti da non perdere 👇



Trovalost esiste da 4694 giorni (13 anni), e contiene ad oggi 4356 articoli (circa 3.484.800 parole in tutto) e 23 servizi online gratuiti. – Leggi un altro articolo a caso

Numero di visualizzazioni (dal 21 agosto 2024): 59
Pubblicità - Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost

Trovalost.it

Tutorial, approfondimenti tematici e notizie in ambito tecnologico. Credits immagini: pexels.com, pixabay.com, wikipedia.org, Midjourney, StarryAI, se non diversamente specificato. Questo articolo può contenere guide e/o indicazioni e/o pareri e/o suggerimenti non necessariamente provenienti dai brand citati (che vengono qui citati a scopo meramente divulgativo). Il punto di vista dell'articolo non è detto che coincida con quello del proprietario del sito. Per contatti clicca qui