Cursos / Redes de Computadores / Redes de Computadores I / Aula
Saiba que nem todas as interfaces (Bluetooth, Ethernet, USB, WLAN, Loopback etc.) são suportadasnas versões do Wireshark para todos os sistemas operacionais. Verifique se a interface que pretende utilizar é suportada no seu sistema operacional no link: http://wiki.wireshark.org/CaptureSetup/NetworkMedia. Adiantamos que Ethernet e WLAN são suportadas no Windows, Linux e Mac.
Uma das ferramentas de captura de pacotes mais tradicionais no Linux é o tcpdump. Apesar de não possuir uma interface gráfica, ele ainda é até hoje muito utilizado.
Lembra-se da linguagem de filtros do Wireshark? Pois é, digamos que no tcpdump essa é a única forma de definir os filtros.
Caso esteja pensando porque você iria deixar de usar uma ferramenta que possui uma ótima interface gráfica para usar uma em modo texto, temos duas respostas.
A primeira é agilidade. É bem mais rápido digitar um comando do que abrir um programa gráfico e utilizar seus menus.
A segunda é que, muitas vezes, você precisa capturar pacotes em servidores que não têm uma interface gráfica instalada. Mas não se preocupe. Normalmente, nesses casos os filtros que você vai precisar usar são bem simples.
Você, normalmente, vai estar mais interessado em verificar se determinados pacotes chegaram até a máquina onde você está executando a ferramenta, do que propriamente em analisar detalhadamente os campos do pacote. Nesses casos a interface gráfica realmente não faz tanta diferença.
Vamos capturar os mesmos pacotes do exemplo mostrado na Figura 9, onde a máquina B, que possui o endereço IP 10.1.1.2, enviou um ping para a máquina A que possui o endereço IP 10.1.1.1. A Figura 17 mostra o comando e a saída do tcpdump.
Veja que a sintaxe é bem simples. O “-i eth0” é para indicar de qual placa de rede os pacotes devem ser capturados. Caso não fosse informado, o padrão é capturar da eth0. Portanto, nesse caso, bastava termos digitado “tcpdump”.
É muito comum utilizarmos também a opção “-n” para dizer ao tcpdump para mostrar as informações (endereços IP, números de porta) como números e não como nomes.
Além disso, você pode observar que as informações exibidas são praticamente as mesmas do Wireshark (só que mais resumidas), com a diferença que não aparecem os nomes dos campos. O Quadro 1 mostra outros exemplos do uso do tcpdump.
Comando | Significado |
---|---|
tcpdump src 10.1.1.1 and icmp | Pacotes ICMP cujo IP de origem e 10.1.1.1. |
tcpdump dst 10.1.1.2 and tcp and dst port 80 | Pacotes cujo endereço IP de destino seja 10.1.1.2 e o protocolo de transporte seja TCP e a porta de destino seja 80. |
tcpdump host 10.1.1.1 | Pacotes cujo endereço IP de origem ou o de destino seja 10.1.1.1. |
tcpdump –i eth0 –n –w /dados/ping.pcap | Captura pacotes recebidos e transmitidos pela eth0 e salva os pacotes no arquivo /dados/ping.pcap (sem tentar traduzir os endereços IP, nem os nomes das portas, para os nomes equivalentes). |
Veja aqui a explicação, em vídeo, sobre o tcpdump
Versão 5.3 - Todos os Direitos reservados