Aggiornato il: 26-06-2022 22:03
tcpdump è il tool di analisi di rete tra i più usati ed importanti in territorio Linux, che permette di monitorare configurazioni di ogni genere sfruttando la linea di comando. Di fatto tcpdump funziona da “decodificatore” di pacchetti, e consente di effettuare operazioni tipiche per un sistemista nella gestione della rete, e sono di seguito elencati i più comuni.
- 1) Nota per Mac
- 2) Trovare informazioni sui cookie scambiati tra client e server
- 3) Estrarre le password inviate inavvertitamente via POST
- 4) Filtrare solo il traffico icmp
- 5) Filtrare solo il traffico Ipv6
- 6) Filtrare solo il traffico UDP
- 7) Filtrare solo il traffico UDP (su Wireless Mac)
- 8) Filtrare il contenuto delle email inviate
- 9) Filtrare solo il traffico di un host
- 10) Filtrare solo il traffico in ingresso
- 11) Filtrare solo il traffico in uscita
- 12) Salvare i contenuti dell’output su file (compatibile con Wireshark ad es.)
tcpdump va lanciato da linea di comando, con diversi parametri a disposizione a seconda delle necessità , ed in modalità sudo (super amministratore), quindi ad esempio:
sudo tcpdump
Nota per Mac
Nota: essendo un software Unix è disponibile e utilizzabile anche su Mac, fermo restando eventuali restrizioni del sistema operativo non documentate. Se usate tcpdump su un Mac, i nomi delle interfaccie (eth0 ad esempio) potrebbero essere diversi da quelli di Linux. Un primo comando da usare potrebbe essere, ad esempio,
networksetup -listallhardwareports
potrebbe restituirci un quadro generale di tutte quelle disponibili nel nostro computer, ad esempio queste sono quelle del mio Macbook
Hardware Port: Wi-Fi
Device: en0Hardware Port: Bluetooth PAN
Device: en2Hardware Port: Thunderbolt 1
Device: en1Hardware Port: Thunderbolt Bridge
Device: bridge0
Ad esempio, in combinazione con il filtro presente nel comando egrep, possiamo scrivere:
sudo tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'
Questa è una situazione in genere da rilevare e correggere, dato che le password dovrebbero viaggiare in forma criptata e si prestano, se questo comando funziona, ad abusi di vario genere.
sudo tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"
Filtrare solo il traffico icmp
sudo tcpdump -i eth0 icmp
Ciò porta ad un output del genere che “testimonia” l’uso di Gmail, ad esempio:
Password:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 262144 bytes
13:35:14.935557 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32035, seq 0, length 64
13:35:14.965917 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32035, seq 0, length 64
13:35:29.856115 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 32803, seq 0, length 64
13:35:29.872292 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 32803, seq 0, length 64
13:35:44.831045 IP apples-air.home-life.hub > dns.google: ICMP echo request, id 34339, seq 0, length 64
13:35:44.846229 IP dns.google > apples-air.home-life.hub: ICMP echo reply, id 34339, seq 0, length 64
Filtrare solo il traffico Ipv6
tcpdump -nn ip6 proto 6 tcpdump -nn ip6 proto 17
Filtrare solo il traffico UDP
sudo tcpdump -i eth0 udp
Filtrare solo il traffico UDP (su Wireless Mac)
sudo tcpdump -i en0 udp
Filtrare il contenuto delle email inviate
sudo tcpdump -nn -l port 25 | grep -i 'MAIL FROM\|RCPT TO'
Filtrare solo il traffico di un host
sudo tcpdump -i eth0 host 10.10.1.1
Filtrare solo il traffico in ingresso
sudo tcpdump -i eth0 src 10.10.1.1
Filtrare solo il traffico in uscita
sudo tcpdump -i eth0 dst 10.10.1.1
Salvare i contenuti dell’output su file (compatibile con Wireshark ad es.)
sudo tcpdump -i eth0 -s0 -w test.pcap
Tutorial, approfondimenti tematici e notizie in ambito tecnologico. Questo articolo non riporta necessariamente pareri o endorsement da parte del proprietario del sito stesso. Per contatti clicca qui
