Innanzitutto ricordiamoci che possiamo fare una prima scrematura, andando a filtrare l’interfaccia di rete che ci interessa. Possiamo avere un elenco delle interfacce disponibili con:

tcpdump -D

Vediamo come filtrare in base alla destinazione dei pacchetti. Ipotizziamo di voler vedere le chiamate https (sulla porta 443) sull’interfaccia ens192, potremmo usare questo comando:

tcpdump -i ens192 port 443

Ma se volessimo limitare la visualizzazione alle sole chiamate in uscita? Possiamo utilizzare:

tcpdump -i ens192 dst port 443 -Q out

enoy!

tcpdump -vvvs 1024 -l -A tcp port 80 | grep -E 'X-Forwarded-For:' --line-buffered | awk '{print $2}'

enjoy!

Per la verifica bisogna installare sul server il pacchetto ngrep:

apt install ngrep

sul client bisogna invece installare netcat:

apt install netcat

A questo punto sul server digitiamo:

ngrep -q 'si funziona' udp port 10000

e nel client:

echo 'si funziona' | nc -u 75.143.7.31 10000

dove 75.143.7.31 è l’IP del server e poi controlliamo se nella console del server scrive qualcosa tipo:

U 150.90.33.62:54977 -> 75.143.7.31:10000 #1
si funziona…….

Ecco, se quando inviamo il messaggio con netcat viene stampato nella console del server un messaggio del genere, allora la porta è aperta.

In alternativa ci possiamo mettere in ascolto sulla porta 10000UDP del server con tcpdump e poi inviare sempre il messaggio dal client con netcat. Per mettersi un ascolto con tcpdump:

tcpdump -ni ens192 udp port 10000 -vv -X

enjoy!

Innanzitutto individuiamo il nome della scheda di rete con il comando:

ip a

Ipotizziamo ens192 sia la scheda primaria di default attiva nelle ultime distribuzioni GNU/Debian. A questo punto, per recuperare le richieste GET eseguiamo:

tcpdump -i ens192 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

Dove 0x47455420 è il valore ASCII dei caratteri  'G' 'E' 'T' ' '

e per limitare le sole richieste GET sulla porta 80:

tcpdump -i ens192 -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

Se volessimo recuperare le richieste POST:

tcpdump -i ens192 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504F5354'

Dove 0x504F5354 rappresenta il valore ASCII per  'P' 'O' 'S' 'T'

Per catturare sia la richiesta che la risposta, per chiamate GET e POST ma limitate all’IP client 192.168.100.10, possiamo usare:

tcpdump -i ens192 -s 0 -A 'tcp dst port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 or tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504F5354 or tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x48545450 or tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x3C21444F and host 192.168.100.10'

enjoy!

Per queste cose, tcpdump è ottimo; vi lascio un paio di utili comani da poter usare.

I comandi presuppongono che le richieste arrivano tramite la scheda eth1 sulla classic porta 80:

tcpdump -i eth1 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

tcpdump -i eth1 -X -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

Se si vogliono analizzare solo le chiamate GET:

tcpdump -i eth1 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

Per analizzare solo le chiamate POST:

tcpdump -i eth1 -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

Per analizzare il traffico in uscita verso la porta 1935:

tcpdump -i eth1 -Q out port 1935

Informazioni utili sono presenti anche nella pagina del manuale di tcpdump, visibile con:

man tcpdump | less -Ip examples

enjoy!