TCPDUMP

tcpdump é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de computadores. Ela mostra os cabeçalhos dos pacotes que passam pela interface de rede.

O tcpdump pode capturar o tráfego que passa através do meio físico onde ele está conectado, com as opções de mostrá-lo na tela (o que não é muito prático, principalmente se houver alto tráfego na rede), ou armazená-lo em um arquivo para análise posterior (opção mais utilizada).
Geralmente, utilizamos o tcpdump para coletar o tráfego em um arquivo. Quando existem problemas no acesso à Internet, por exemplo, realizamos a coleta no gateway da rede (ou em uma máquina “em paralelo” com este, utilizando espelhamento de portas no switch), e a análise na estação de gerenciamento da rede.

Coleta e análise
Coletar e armazenar o tráfego com o tcpdump, utilizamos, por exemplo, o seguinte comando:

tcpdump -i eth0 -n -s 65500 host 192.168.7.90 -w captura1.pcap
Onde:

-i: indica a interface de rede de onde o tcpdump irá capturar o tráfego;

-n: indica que o tcpdump não deve tentar resolver os nomes dos hosts;

-s: indica a quantidade em bytes que será capturada em cada pacote;

host: o endereço IP (ou o nome) da estação que queremos monitorar; a omissão deste parâmetro capturaria o tráfego de todas as estações e, dependendo da quantidade de tráfego na rede, deixaria o arquivo de log muito grande em poucos minutos;

-w : indica o arquivo que irá armazenar os dados coletados.

TCPDUMP

tcpdump é uma ferramenta utilizada para monitorar os pacotes trafegados numa rede de computadores. Ela mostra os cabeçalhos dos pacotes que passam pela interface de rede.

O tcpdump pode capturar o tráfego que passa através do meio físico onde ele está conectado, com as opções de mostrá-lo na tela (o que não é muito prático, principalmente se houver alto tráfego na rede), ou armazená-lo em um arquivo para análise posterior (opção mais utilizada).
Geralmente, utilizamos o tcpdump para