TCPDUMP: un coltellino svizzero per sistemisti

Circa cinque anni fa mi sono trovato nelle condizioni, per motivi molto diversi dal lavoro, di dover scovare alcune informazioni (l’ip di provenienza nello specifico) di un flusso di pacchetti anomali che arrivavano su un server che gestivo. La soluzione a tutto è un tool relativamente semplice da usare, ma estremamente potente se usato con intelligenza.
tcpdump non farà altro che rendervi più semplice l’analisi dei pacchetti che, per esempio, vi arrivano su una determinata interfaccia, facciamo conto eth0, indirizzati ad una porta specifica, facciamo 22, e non siano provenienti magari da voi stessi:

tcpdump -i eth0 port 22 and not src 10.10.0.1

il comando precedente cattura i pacchetti in arriva sull’interfaccia eth0, inirizzati alla porta 22 (solitamente quella di default per il protocollo ssh), e non provenienti dall’ip 10.10.0.1 (come potrebbe essere in una VPN).
Seguendo questa logica, e con un po’ di approfondimenti tramite la sua completissima informazione, tcpdump ci consente di creare log perfettamente ritagliati sulle nostre necessità.

Inutile dire che le applicazioni di questo tool sono molteplici, ma non è mia intenzione illustrarvi quali.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *