Leitura de arquivos gerado pelo tcpdump [RESOLVIDO]

1. Leitura de arquivos gerado pelo tcpdump [RESOLVIDO]

marconso
(usa XUbuntu)

Enviado em 23/04/2018 - 11:09h

Bom dia galera, me desculpem se coloquei na área errada, mas creio que esteja dentro da categoria... Estou começando a buscar sobre análise de rede e tenho uma duvida se é possível ler os arquivos gerados pelo tcpdump (extensão ".pcap") como strings através to terminal ou algo mais simples assim. Acontece que eu gostaria de fazer um script pra pegar as strings que eu busco e passar elas para outro arquivo de log, como se fosse uma lista de ocorrências. Por agora eu estou usando o wireshark, mas comecei hoje, então qualquer conselho é bem vindo.

Desde ja, grato pela atenção e paciência da comunidade do VOL []'s

0 0

Quote

2. MELHOR RESPOSTA

removido
(usa Nenhuma)

Enviado em 23/04/2018 - 22:06h

Não, o tcpdump tem muitas opções, o grep foi só um exemplo de filtragem, tendo o arquivo é possível utilizar o -A para imprimir cada pacote em ASCII, veja alguns exemplos no site abaixo:
http://site.grenfell.com.br/capturando-trafego-de-rede-com-tcpdump-parte-2-filtros/
Já sobre capturar requisições ou credencias é possível utilizar os comandos abaixo:

1. Filtrar pacotes do IP 192.168.0.12, porta 80 em ASCII do arquivo captura.pcap para o arquivo /home/use/captura_ascii.log
tcpdump host 192.168.0.12 and port 80 -Ar captura.pcap > /home/user/captura_ascii.log
2. Filtrar pacotes em ASCII, sem resolução de nomes do arquivo captura.pcap para o arquivo /home/use/captura_ascii_senha.log
tcpdump -Anr captura.pcap|grep Authorization > /home/user/captura_ascii_senha.log

Observe que é possível filtrar de diversas maneiras, digite "man tcpdump"

Espero ter ajudado

1 0

Quote

3. Re: Leitura de arquivos gerado pelo tcpdump [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 23/04/2018 - 12:33h

Olá,

Recomendo usar o tcpdump mesmo e o grep no terminal...
Exemplo:
Arquivo /home/user/captura.pcap

No terminal digitar:
tcpdump -r /home/user/captura.pcap | grep 17.59.92.177 > /home/user/arquivo.log

Nesse caso o comando le o arquivo e filtra somente as linhas que tiverem o IP 17.59.92.177 e "joga" essas linhas em /home/user/arquivo.log

Existem outros tipos de filtros, mas o grep é o mais usado, também é possível usar o grep -v, nesse caso será filtrado as linhas que não tiverem o IP 17.59.92.177, qualquer dúvida pode digitar man grep

Acho que é isso, qualquer coisa só falar

1 0

Quote

4. Re: Leitura de arquivos gerado pelo tcpdump [RESOLVIDO]

marconso
(usa XUbuntu)

Enviado em 23/04/2018 - 12:42h

Então o limite do tcpdump é filtrar ips e portas e pacotes? Eu tenho campos que posso ver no wireshark como métodos de requisição e credenciais, caso eu queira essas string pelo tcpdump eu fico limitado então?

0 0

Quote