tcpdump è un tool usato per analizzare pacchetti, può essere utilizzato per analizzare il traffico di rete intercettando e visualizzando i pacchetti che vengono creati o ricevuti dal computer su cui è in esecuzione. Funziona su Linux e sulla maggior parte dei sistemi operativi di tipo UNIX!

Differenze fra tcpdump e Wireshark! fonte

Installazione:

tcpdump è già installato in molte distro Linux solitamente dedicate alla Cybersecurity e l'informatica forense per esempio ParrotOS security, Kali Linux ecc.

  • Per controllare se è già installato:
    $ which tcpdump
    In questo modo ci risulterà la directory di dove è salvato.

  • Se non lo avete installato digitate questo comando:
    $ sudo dnf install -y tcpdump
    tcpdump richiede libpcap, che è una libreria per l'acquisizione di pacchetti di rete. Se non è installato, verrà automaticamente aggiunto come dipendenza.

Comandi:

  • Catturare pacchetti per interfaccia specifica:
    tcpdump -i eth0

  • Catturare un numero specifico di pacchetti:
    tcpdump -c 10 -i eth0

  • Mostrare le interfacce disponibili:
    tcpdump -D

  • Vedere il file dove sono salvati i pacchetti:
    tcpdump -r 0001.pcap

  • Catturare pacchetti per IP:
    tcpdump -n -i eth0

  • Catturare pacchetti TCP:
    tcpdump -i eth0 tcp

  • Catturare i pacchetti per una porta specifica:
    tcpdump -i eth0 port 80

  • Giulio_M, Vladimir e Im0day hanno messo mi piace.
  • Giulio_M ha risposto a questo messaggio
  • Samueleex interessante, lo devo testare per bene!!
    Faccio subito qualche precisazione:

    • which comando riporta il percorso, se il tool è installato (es. usr/bin/nome); in alternativa digitando solo il comando si aprono le opzioni (se presenti), si avvia il tool/programma oppure se non c'è corrispondenza, 'command not found'
    • per l'installazione, il comando dnf si riferisce alla famiglia Red Hat / Fedora, su Debian/Ubuntu oppure Arch Linux digitiamo rispettivamente:
      sudo apt install tcpdump
      sudo pacman -Syu tcpdump
    • per quanto riguarda i vari comandi (es. catturare pacchetti per interfaccia specifica): occhio che eth0 è semplicemente un riferimento di esempio, ciò che occorre fare è questo:
      sudo ifconfig
      vedi l'identificativo della scheda ethernet, scheda Wi-Fi e il nominativo corretto può essere ad esempio enp0s25 (quindi va usato questo e non il generico enp0 altrimenti compare il messaggio "No such device exist"
    • per ognuno di questi comandi, senza il "Super User" non vai da nessuna parte ahah, quindi sempre il classico "sudo" prima di ogni operazione con tcpdump

    Samueleex interessante, lo devo testare per bene!!
    Faccio subito qualche precisazione:

    • which comando riporta il percorso, se il tool è installato (es. usr/bin/nome); in alternativa digitando solo il comando si aprono le opzioni (se presenti), si avvia il tool/programma oppure se non c'è corrispondenza, 'command not found'
    • per l'installazione, il comando dnf si riferisce alla famiglia Red Hat / Fedora, su Debian/Ubuntu oppure Arch Linux digitiamo rispettivamente:
      sudo apt install tcpdump
      sudo pacman -Syu tcpdump
    • per quanto riguarda i vari comandi (es. catturare pacchetti per interfaccia specifica): occhio che eth0 è semplicemente un riferimento di esempio, ciò che occorre fare è questo:
      sudo ifconfig
      vedi l'identificativo della scheda ethernet, scheda Wi-Fi e il nominativo corretto può essere ad esempio enp0s25 (quindi va usato questo e non il generico enp0 altrimenti compare il messaggio "No such device exist"
    • per ognuno di questi comandi, senza il "Super User" non vai da nessuna parte ahah, quindi sempre il classico "sudo" prima di ogni operazione con tcpdump

    Powered by: FreeFlarum.
    (remove this footer)