tcpdump è un tool usato per analizzare pacchetti, può essere utilizzato per analizzare il traffico di rete intercettando e visualizzando i pacchetti che vengono creati o ricevuti dal computer su cui è in esecuzione. Funziona su Linux e sulla maggior parte dei sistemi operativi di tipo UNIX!
Differenze fra tcpdump e Wireshark! fonte
Installazione:
tcpdump è già installato in molte distro Linux solitamente dedicate alla Cybersecurity e l'informatica forense per esempio ParrotOS security, Kali Linux ecc.
Per controllare se è già installato:
$ which tcpdump
In questo modo ci risulterà la directory di dove è salvato.
Se non lo avete installato digitate questo comando:
$ sudo dnf install -y tcpdump
tcpdump richiede libpcap, che è una libreria per l'acquisizione di pacchetti di rete. Se non è installato, verrà automaticamente aggiunto come dipendenza.
Comandi:
Catturare pacchetti per interfaccia specifica:
tcpdump -i eth0
Catturare un numero specifico di pacchetti:
tcpdump -c 10 -i eth0
Mostrare le interfacce disponibili:
tcpdump -D
Vedere il file dove sono salvati i pacchetti:
tcpdump -r 0001.pcap
Catturare pacchetti per IP:
tcpdump -n -i eth0
Catturare pacchetti TCP:
tcpdump -i eth0 tcp
Catturare i pacchetti per una porta specifica:
tcpdump -i eth0 port 80