Posts Tagged “tshark”:

tshark::Capturando pacotes RADIUS

Quando se quer capturar pacotes a nível TCP muitos usam o já conhecido comando tcpdump. Porém temos uma alternativa interessante chamada [tshark](https://www.wireshark.org/docs/man-pages/tshark.html). Segue abaixo um exemplo: tshark -ni eth0 -V port 1812 or 1813 or 3799 -Y '(radius.code == 43 or radius.code == 44 or radius.code == 45) and (radius.Error_Cause == 205 or radius.Error_Cause == 206)' Este comando captura pacotes RADIUS com códigos 43 ou 44 ou 45, e também códigos 205 ou 206. Todos trafegados nas portas 1812 ou 1813 ou 3799 ( portas padrões ). Veja abaixo todos os códigos RADIUS e suas descrições e referências:   Decimal Message Reference 1 Access-Request [RFC2865] 2 Access-Accept [RFC2865] 3 Access-Reject [RFC2865] 4 Accounting-Request [RFC2865] 5 Accounting-Response [RFC2865] 6 Accounting-Status (now Interim Accounting) [RFC3575] 7 Password-Request [RFC3575] 8 Password-Ack [RFC3575] 9 Password-Reject [RFC3575] 10 Accounting-Message [RFC3575] 11 Access-Challenge [RFC2865] 12 Status-Server (experimental) [RFC2865] 13 Status-Client (experimental) [RFC2865] 21 Resource-Free-Request [RFC3575] 22 Resource-Free-Response [RFC3575] 23 Resource-Query-Request [RFC3575] 24 Resource-Query-Response [RFC3575] 25 Alternate-Resource-Reclaim-Request [RFC3575] 26 NAS-Reboot-Request [RFC3575] 27 NAS-Reboot-Response [RFC3575] 28 Reserved 29 Next-Passcode [RFC3575] 30 New-Pin [RFC3575] 31 Terminate-Session [RFC3575] 32 Password-Expired [RFC3575] 33 Event-Request [RFC3575] 34 Event-Response [RFC3575] 35-39 Unassigned 40 Disconnect-Request [RFC3575][RFC5176] 41 Disconnect-ACK [RFC3575][RFC5176] 42 Disconnect-NAK [RFC3575][RFC5176] 43 CoA-Request [RFC3575][RFC5176] 44... [Leia Mais]
Tags: radius tshark

Tcpdump::Como aplicar um filtro em um tcpdump direto na linha de comando

Muitas vezes precisamos fazer um tcpdump e depois filtrar algum conteúdo de um pacote. Geralmente o Wireshark é usado para essa finalidade porém, fazer um tcpdump no servidor, gerar um arquivo, transferir via SFTP, etc, etc, etc…. nada prático. Você pode fazer isso diretamente na linha de comando, sabia ? No exemplo abaixo iremos pegar os pacotes HTTP na porta 80: `tcpdump -ni eth0 -vvs 1500 -l -A port 80 | egrep 'HTTP|\: |\{'` Espero que tenha ajudado! Boa sorte! [Leia Mais]