tshark::Capturando pacotes RADIUS

Quando se quer capturar pacotes a nível TCP muitos usam o já conhecido comando tcpdump. Porém temos uma alternativa interessante chamada tshark.

Segue abaixo um exemplo:

tshark -ni eth0 -V port 1812 or 1813 or 3799 -Y '(radius.code == 43 or radius.code == 44 or radius.code == 45) and (radius.Error_Cause == 205 or radius.Error_Cause == 206)'

Este comando captura pacotes RADIUS com códigos 43 ou 44 ou 45, e também códigos 205 ou 206. Todos trafegados nas portas 1812 ou 1813 ou 3799 ( portas padrões ).

Veja abaixo todos os códigos RADIUS e suas descrições e referências:

Decimal	Message	Reference
1	Access-Request	[RFC2865]
2	Access-Accept	[RFC2865]
3	Access-Reject	[RFC2865]
4	Accounting-Request	[RFC2865]
5	Accounting-Response	[RFC2865]
6	Accounting-Status (now Interim Accounting)	[RFC3575]
7	Password-Request	[RFC3575]
8	Password-Ack	[RFC3575]
9	Password-Reject	[RFC3575]
10	Accounting-Message	[RFC3575]
11	Access-Challenge	[RFC2865]
12	Status-Server (experimental)	[RFC2865]
13	Status-Client (experimental)	[RFC2865]
21	Resource-Free-Request	[RFC3575]
22	Resource-Free-Response	[RFC3575]
23	Resource-Query-Request	[RFC3575]
24	Resource-Query-Response	[RFC3575]
25	Alternate-Resource-Reclaim-Request	[RFC3575]
26	NAS-Reboot-Request	[RFC3575]
27	NAS-Reboot-Response	[RFC3575]
28	Reserved
29	Next-Passcode	[RFC3575]
30	New-Pin	[RFC3575]
31	Terminate-Session	[RFC3575]
32	Password-Expired	[RFC3575]
33	Event-Request	[RFC3575]
34	Event-Response	[RFC3575]
35-39	Unassigned
40	Disconnect-Request	[RFC3575][RFC5176]
41	Disconnect-ACK	[RFC3575][RFC5176]
42	Disconnect-NAK	[RFC3575][RFC5176]
43	CoA-Request	[RFC3575][RFC5176]
44	CoA-ACK	[RFC3575][RFC5176]
45	CoA-NAK	[RFC3575][RFC5176]
46-49	Unassigned
50	IP-Address-Allocate	[RFC3575]
51	IP-Address-Release	[RFC3575]
52-249	Unassigned
250-253	Experimental Use	[RFC3575]
254	Reserved	[RFC3575]
255	Reserved	[RFC3575]

Fonte: http://www.iana.org/assignments/radius-types/radius-types.xhtml#radius-types-27