tcpdump è uno strumento di sniffing molto diffuso nel mondo Unix/Linux: permette di analizzare il tipo di pacchetti che passano per l’interfaccia di rete specificata. Di fatto, il suo utilizzo è molto simile a quello di WireShark/Ethereal, di cui abbiamo parlato in questo articolo, ma agisce solamente da linea di comando, anziché tramite una (comoda) interfaccia grafica.
Come detto, è molto diffuso e utilizzato su molte piattaforme Unix-like: Linux, Solaris, BSD, Mac OS X, HP-UX e AIX, sviluppato sulla base delle librerie per la cattura di pacchetti libpcap. Su Windows invece è stato fatto un porting, che prende il nome di WinDump. Vediamo insieme qualche semplice esempio di utilizzo.
Su macchine Linux (come può essere ad esempio il vostro PC Ubuntu) è necessario eseguirlo con i privilegi di root, in questo caso quindi con il comando sudo:
sudo tcpdump -i eth0
Con l’opzione -i si indica l’interfaccia di rete su cui mettersi in ascolto e catturare i pacchetti.
Se vogliamo limitare il numero di pacchetti da analizzare e poi uscire, si utilizza l’opzione -c (count)
sudo tcpdump -i eth0 -c 10
Se invece vogliamo analizzare tutto il traffico che passa per una determinata porta, ad esempio la porta 80:
sudo tcpdump port 80
Infine, se vogliamo analizzare il traffico di una sottorete in relazione ad una determinata porta:
tcpdump net 10.0.0.0/24 and port 22
Visualizza tutti i pacchetti per la sottorete 10.0.0.0/24 relativi al protocollo ssh (porta 22)
interessante questo ciclo di top10 programmi, sarebbe anche carino approfondirli ulteriormente. buon lavoro da un nuovo utente che ha appena scoperto questo blog
di twist - 20 gennaio 2009 - 15:18