http://www.ethereal.com

Ethereal é uma ferramenta grátis  distribuído sob regulamentos do GNU. Esta ferramenta habilita você examinar uma rede em funcionamento ou fazer a captura dos pacotes gerando um arquivo em disco para futura análise.

Exemplos: 

A Imagem mostra o Ethereal capturando pacotes da rede.

Aqui a imagem esta mostrado DNS lookup.

Tethereal, um modulo do ethereal no estilo  TTY- mode sniffer. 

[Back to Top]

http://www.tcpdump.org  (versão Unix)
http://windump.polito.it/   (versão Windows)

TCPdump é uma ferramenta que mostra na tela/(gera um arquivo) os cabeçalhos dos pacotes que estão trafegando na rede e que satisfazem (operação boleana) as opções de comandos entradas pelo o usuário. Vale lembrar que o payload ou os dados propriamente dito não serão mostrados pelo TCPdump, visto que mesmo foi programado para analisar somente os cabeçalhos dos pacotes IP, TCP, UDP, ICMP etc.

* Libpcap (Packet Capture Library) é uma biblioteca necessária para prover interface para outras ferramentas que captura pacotes da rede tal como TCPdump e Windump.

Exemplo:

Aqui é uma amostragem do tcpdump output  entre o host rtsg e host csam.

rtsg.1023 > csam.login: S 768512:768512(0) win 4096 <mss 1024>
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 <mss 1024>
rtsg.1023 > csam.login: . ack 1 win 4096 rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096 rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077 csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1 csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1

Comandos:

Opções

-n (não DNS lookup)
-v, -vv (verbose e mais verbose)
-x (mostra em Hexa)
-w (grava pacotes no arquivo)
-r (lê do arquivo criado pela opção -w)

Comandos

• tcpdump host <hostname ou endereço IP> 
    # scaneia somente hostname ou IP especificado

• tcpdump host \(10.10.100.100 and 10.10.200.200\)
    # scaneia os dois IP (comunicação entre dois IP)

• windump host (10.10.100.100 and 10.20.200.200)  
    # OBS. windump não usa "\"

• windump host (10.10.100.100 or 10.20.200.200) 
  # usando a opção "or" 

• tcpdump port 386 and not host x.x.x.x  
  # scaneia a porta 386 mas descarta host IP x.x.x.x

• tcpdump -n icmp  
  # o argumento -n evita name service queries

• tcpdump icmp    
  # mostra qualquer pacote ICMP

• tcpdump net 10.10.0.0 mask 255.255.0.0    
  #  scaneia restritamente a network especificada.

• tcpdump -n -t tcp or udp      
  # scaneia restritamente  TCP ou UDP 

•  tcpdump -n icmp and ip src 10.0.0.1  
  # scaneia especifico source IP e trafego de ICMP somente

• tcpdump tcp port 22      
  # scaneia restritamente TCP port 22

Filtros == > Windump usa (“argumento”) ao invés de (‘argumento’).

• tcpdump 'ip[0] & 0x0f > 5'
  # filtra pacotes com cabeçalhos maiores de 20 bytes.

• tcpdump 'ip[8] > 5'
    # filtra pacotes com valores TTL maiores de 5.

• tcpdump ‘ip[9] = 6’ 
  # filtra o 10º byte ou 9º offset  (protocol field) -  TCP = port 6  UDP = port 17

• tcpdump -vv -n -x src host 192.168.0.24
   # filtra pacotes da fonte especificado.

• tcpdump -vv -n -x dst host 192.168.0.24 
  # filtra pacote do destino especificado.

• tcpdump –F filter_file 
  # usa o arquivo filter_file.txt para especifica filtragem.

Arquivo filter_file.txt

Este filtro tenta descobrir qualquer tentativa de inclusão de dados no pacote de SYN inicial.
Fonte: Livro Network Intrusion Detection - ISBN 0-7357-1008-2 - pagina 307 

######Inicio - cortar aqui
tcp[13] = 2
and
      (      ip[2:2] -
          ((ip[0] & 0x0f*4) -
          ((tcp[12] & 0xf0/4)
       ) != 0
######Fim - cortar aqui

• tcpdump 'icmp[0] != 8 and icmp[0] != 0' 
  # filtra ICMP mas ignora echo requests/replies
  
  

• tcpdump ‘ip[0] & 0x0f > 5’ 
  # filtra pacotes de IP maiores de 20 bytes
  
  

• tcpdump ‘ip[19] = 0xff or ip[19] = 0x00’ 
  # filtra .255 ou .0 broadcast
  
  

• tcpdump ‘tcp[13] = 2’  
  # filtra TCP com flag SYN
     1 = FIN , 2 = SYN , 4 = RST, 8 = PSH,
   16 = ACK, 32 = URG, 64/128 = REServed.

** O 0x usado nos filtros acima informam ao TCPdump/Windump que os valores estarão sendo representados  em hexadecimal ao invés de decimal.

[Back to Top]

http://www.tcpshow.org
http://www.thedumbterminal.co.uk/software/sniff.html (Sniff)

TCPshow infelizmente só existe para Unix ate este momento. Porem os códigos fontes são abertos e podem ser compilados para a plataforma windows (claro! algumas modificações terão que ser feitas) .

O programa Sniff também não oferece uma versão para o windows ate então.

As duas ferramentas acima são um opcional para o usuário que gosta ou tem dificuldades de interpretar os outputs do TCPdump. Essas ferramentas habilita o usuário a visualizar os logs gerados (tcpshow trabalha em real time)  pelo  TCPdump de modo mais amigavel/GUI.

[Back to Top]

Snoop
Comando do Unix
Deve ser executado com  permissão root.

• snoop |more 
  # executa o snoop e faz a paginação dos resultados na tela.

• snoop |grep "ICMP Time exceeded"  
  # mostra os pacotes que contem a mensagem.

• snoop –o <nome_arquivo>  
  # captura os pacotes da rede e gera (opção -o) um arquivo no formato binário.

• snoop -o <nome_arquivo> -c 1000  
  # captura limitada (opção -c) de 1000 pacotes da rede.

• snoop -V -o <nome_arquivo> -c 1000  
  # captura em summary (default), verbose summary (-V), e verbose mode (-v) um total de 1000 pacotes.

• snoop -i <nome_arquivo> -v -p10-32,56  
  # filtra os pacotes 10 ao 32 e 56 do arquivo gerado na item anterior e com a opção se verbose summary.

• snoop –o <nome_arquivo> from zeus or to 8:0:20:f1:b3:51 or net 192.168.3.0 not 192.168.3.58  
  # gera arquivo com opções por host name, Mac e network com uma exclusão de um IP.

**outra opções olhar no manual do snoop: man snoop

[Back to Top]