o tcpdump eh bem simples :
tcpdump -i (coloca-aqui-a-interface-q-vc-quer-ouvir) -n (para nao resolver nomes) host (coloca-aqui-ip-de-um-host-que-vc-quer-filtrar)
cada linha mostrada eh praticamente um "pacote" que ele pegou , sendo que as colunas são :
data , hora, ip-origem:porta , ip-destino:porta, ocorrencia em(tcp)
sendo assim da pra vc verificar "quem esta falando com quem" e oque , por exemplo :
20:17:50.844501 19.0.4.2.1287 > 200.221.7.37.80: . ack 4381 win 17520
nesta linha a maquina "19.0.4.2" esta enviando para "200.221.7.37" na porta 80 um "ack" que quer dizer mais ou menos um "ok". e assim vai ...
a ideia do programa eh mostrar o trafego entre maquinas, podendo filtar por maquina , por porta , por protocolo, etc ..
com isso voce podera identificar se alguma maquina esta fazendo muito download , ou se esta mandando muito email , etc atraves da porta .
qq duvida PVT !!
Renato
Andre Luiz writes:
Ja postei algumas msgs aqui, onde estou com problema de lentidado nao minha rede externa, alguns amigos aqui madaram fazer analises com o tcpdump porem nao sei usar, encontrei um path de comando pesquisando na Net (tcpdump -ni rl1 | grep "445" > arquivo.log), fiz isso na minha interfaces inclusive a rl1 e apareceu as seguintes linhas, nao sei analisa-las. Alguem pode me ajudar em alguma forma, q estar acontecendo se estou recebendo pacotes indesejados, virus, ataques, etc e como resolver??? Desde de já agradeco pela atencao.
20:17:48.864452 85.0.0.2.2970 > 204.9.118.8.2597: . ack 4294965836 win 63064 <nop,nop,sack sack 1 {0:1460} > (DF)
20:17:49.737445 204.9.118.4.2597 > 85.0.0.2.1679: . 10828:12288(1460) ack 1 win 63870 (DF) 20:17:50.385130 192.168.100.11.3020 > 80.230.70.217.54263: P 433445285:433445327(42) ack 759767944 win 17680 (DF)
20:17:50.844501 19.0.4.2.1287 > 200.221.7.37.80: . ack 4381 win 17520
_______________________________________________________________ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
