[FUG-BR] Re: Alguem pode ajudar no tcpdump

Renato de Almeida Previdelli raprevidelli em construtivo.com
Ter Mar 1 16:08:20 BRT 2005 

Andre, 

o tcpdump eh bem simples : 

tcpdump -i (coloca-aqui-a-interface-q-vc-quer-ouvir) -n (para nao resolver 
nomes) host (coloca-aqui-ip-de-um-host-que-vc-quer-filtrar) 

cada linha mostrada eh praticamente um "pacote" que ele pegou , sendo que as 
colunas são :
data , hora, ip-origem:porta , ip-destino:porta, ocorrencia em(tcp) 

sendo assim da pra vc verificar "quem esta falando com quem" e oque , por 
exemplo : 

20:17:50.844501 19.0.4.2.1287 > 200.221.7.37.80: . ack 4381 win 17520 

nesta linha a maquina "19.0.4.2" esta enviando para "200.221.7.37" na porta 
80 um "ack" que quer dizer mais ou menos um "ok". e assim vai ... 

a ideia do programa eh mostrar o trafego entre maquinas, podendo filtar por 
maquina , por porta , por protocolo, etc .. 

com isso voce podera identificar se alguma maquina esta fazendo muito 
download , ou se esta mandando muito email , etc  atraves da porta . 

qq duvida PVT !!
Renato 

Andre Luiz writes: 

> Ja postei algumas msgs aqui, onde estou com problema de lentidado nao minha rede externa, alguns amigos aqui madaram fazer analises com o tcpdump porem nao sei usar, encontrei um path de comando pesquisando na Net (tcpdump -ni rl1 | grep "445" > arquivo.log), fiz isso na minha interfaces inclusive a rl1 e apareceu as seguintes linhas, nao sei analisa-las. Alguem pode me ajudar em alguma forma,  q estar acontecendo se estou recebendo pacotes indesejados, virus, ataques, etc e como resolver??? Desde de já agradeco pela atencao.
>  
> 20:17:48.864452 85.0.0.2.2970 > 204.9.118.8.2597: . ack 4294965836 win 63064 <nop,nop,sack sack 1 {0:1460} > (DF)
> 20:17:49.737445 204.9.118.4.2597 > 85.0.0.2.1679: . 10828:12288(1460) ack 1 win 63870 (DF)   
> 20:17:50.385130 192.168.100.11.3020 > 80.230.70.217.54263: P 433445285:433445327(42) ack 759767944 win 17680 (DF)
> 20:17:50.844501 19.0.4.2.1287 > 200.221.7.37.80: . ack 4381 win 17520 

_______________________________________________________________
Para enviar um novo email para a lista: freebsd em fug.com.br
Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd