TCPDump

rudrigolima
(usa Slackware)

Enviado em 19/10/2008 - 13:25h

Boa tarde Srs...

Estou com um problema e gostaria da ajuda de vc's, estou testando esse apicarivo na minha rede local e ñ consigo pegar pacotes de um host para o gateway, de forma que o tcpdump está instalado num maqina cliente na mesma rede, como devo fazer, ou ele ñ tem essa opção, resumindo a pergunta "É possível capturar pacotes de uma rede local com tcpdump rodando num host e ñ no gateway"?

renato_pacheco
(usa Debian)

Enviado em 19/10/2008 - 23:40h

Amiguim, nessa vida tem jeito pra tudo, mas não é simples como vc pensa. Se vc quiser capturar pacotes d um cliente q conversa com o gateway, sendo q vc seja pertecente à msm rede, é possível d várias formas:

- A rede seja conectada a hub's e não switches;
- Se for switch, vc deve fazer um esquema chamado ARP Spoofing;
- Dependendo do modelo do switch, vc pode tb fazer o famoso ARP Poisoning;
- Conectando-se à máquina-vítima remotamente e capturar os pacotes na própria máquina-vítima;

Obs.: a sua placa d rede deve estar configurada como Promisc (modo promíscuo).

Kra, esses são alguns dos métodos eficazes d capturar dados da máquina, mas como fazê-los... ae é com vc. Quem sabe vc consiga? Talvez exista outros métodos q desconheço, sei lá. Pesquisa ae no oráculo.

Falows!

renato_pacheco
(usa Debian)

Enviado em 19/10/2008 - 23:47h

Kra, tava lendo sua pergunta e acho q entendi errado, mas vou deixar as 2 respostas ae.

O TCPDump captura tudo q entra e sai pela sua placa d rede, ou seja, se vc quiser capturar pacotes apenas para entender como funfa as camadas, os cabeçalhos e tals, entra na net e deixa o TCPDump rodando no IP da sua placa d rede. Assim vc consegue capturar, mas se quiser pegar pacotes d outra conexão da msm rede, ae são os métodos explicados acima.

Obs.: não pode deixar capturando no localhost, pq os pacotes transmitidos e recebidos no localhost não passam pela placa d rede, OK?

rudrigolima
(usa Slackware)

Enviado em 20/10/2008 - 09:27h

Bom dia, amigo e obg pela atenção
Vc entendu sim a pergunta, estou tentando pegar pacotes de um host ao gatewy de forma que estou na msm rede como host e usando hub/switch encore(simples), vc falou que existem varias formas.. mas ñ fou como.. já rodei o oráculo e ñ encontrei essa resposta, caso vc tem essa pratica com o tcpdump me diga... e se for com outro aplicativo tb...

renato_pacheco
(usa Debian)

Enviado em 20/10/2008 - 13:53h

Um programa mais legal q o TCPDump é o Wireshark, já ouviu falar? A interface é mais amigável, dá pra entender o q se passa na rede. Pra qual finalidade vc quer capturar os dados do vizinho? Não me responsabilizo por nada, hein? Vou só t ensinar como funciona o hub/switch, dae vc faz o resto:

O hub/switch encaminha os pacotes exclusivamente ao destinatário sem enviar esse pacote como broadcast (pra toda rede), diferente do hub, mas ele sabe disso pq ele grava uma tabela IP dentro do aparelho, ou seja, se vc derrubar a máquina-vítima e trocar o seu IP com o dele...

Tente estudar mais sobre ARP Spoofing e ARP Poisoning, vai t ajudar.

Falows!

rudrigolima
(usa Slackware)

Enviado em 20/10/2008 - 16:34h

Obrigado... e claro ñ é nada do vizinho.. e sim um serviço particular com responsabilidade total do cotratante... vou busca tutorias do wareshark e testa na area...

edilmarcio
(usa Debian)

Enviado em 28/08/2012 - 09:28h

Olá amigo .. estou com a mesma duvida .. vc conseguiu solucionar ?

jptudobem
(usa Debian)

Enviado em 28/08/2012 - 11:28h

Safadinhoos... querendo capturar "pacotes" dos vizinho né?

Glu glu ié ié! Ráa

renato_pacheco
(usa Debian)

Enviado em 28/08/2012 - 11:49h

kkkkkkkkkkkkkkkkkkkk! O Sérgio Malandro é o kra!