Thiago Teixeira
EN | PT

tcpdump

The Tcpdump Group

Utilitário de captura de pacotes em linha de comando — referência em Unix.

Reconhecimento e Monitoramento de Rede Gratuito e Open Source CLI Praticado em Lab Linux macOS
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

O tcpdump é o sniffer CLI do Unix. Pequeno, scriptável e presente em quase toda máquina Linux. Analistas o usam em jump hosts, firewalls e servidores para capturar tráfego e analisar offline no Wireshark quando GUI não é viável.

Conceitos importantes:

  • Filtros BPF (tcpdump host 1.2.3.4 and port 53) limitam a captura no kernel.
  • -w file.pcap / -r file.pcap para gravar e ler.
  • -i any captura em todas as interfaces; -s 0 pacotes completos.
  • Captura rotativa (-C size -W count) controla disco em investigações longas.

Casos de uso

  • Captura em servidor remoto somente via SSH
  • Captura rotativa de longa duração durante incidentes
  • Capturas disparadas por script ao acionar alertas
  • Validação rápida de resolução DNS saindo do host

Exemplo

# Capture full packets for SMB traffic to a suspect host
sudo tcpdump -i any -s 0 -w smb.pcap host 10.10.10.7 and port 445

# Rotate captures into 100 MB files, keep last 10
sudo tcpdump -i eth0 -C 100 -W 10 -w /var/log/cap/cap.pcap