Digit Oktavianto Web Log

Catatan Sampah si Digit

Tutorial TCPDump - Part 1

| Comments

Halo teman, kali ini saya akan menulis mengenai penggunaan tcpdump sebaga network analysis. Tcpdump adalah tool yang wajib untuk para network administrator, system administrator, atau juga yang berprofesi sebagai security profesional.

Tcpdump dapat membantu kita dalam melakukan analisis yang mendalam terhadap trafik network yang ada pada komputer kita, pada server kita, atau pada jaringan kita. Namun penggunaan tcpdump bagi yang belum pernah menggunakannya akan terasa sangat sulit (seperti saya ini :D ).

Ada beberapa trik command tcpdump yang sangat berguna dari hasil rangkuman saya googling yang bisa memudahkan kita dalam mempelajari tcpdump. Hehehe. Berikut ini command tcpdump :

1. Simple tcpdump command untuk melihat traffic network pada interface network ppp0 dan port 80 :

digit@digit-laptop:~$ tcpdump -i ppp0 -n port 80 

Sample Output :

listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 15:33:55.858167 IP 199.47.217.148.80 > 10.186.236.120.45399: Flags [P.], seq 1036406884:1036407063, ack 926785551, win 501, options [nop,nop,TS val 532940367 ecr 7128781], length 179

Penjelasan Parameter Tcpdump :

-i = interface network yang akan di analysis (e.g. : ppp0, eth0, eth1,, dll) -n = Tidak melakukan konversi ip dari host address ke dalam domain name port 80 = analisis network dilakukan pada port 80

2. Menggunakan Tcpdump untuk mendeteksi http header :

digit@digit-laptop:~$ tcpdump -s 1024 -l -A dst digitoktavianto.web.id 

Sample Output :

Host: www.digitoktavianto.web.id User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:10.0) Gecko/20100101 Firefox/10.0 Accept: / Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip, deflate Connection: keep-alive Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Referer: http://www.digitoktavianto.web.id/wp-admin/post-new.php Content-Length: 1190

-snip-

Command di atas akan melakukan sniffing terhadap http header dari website http://digitoktavianto.web.id. Ketika browser mengarahkan ke URL http://digitoktavianto.web.id maka tcpdump akan memulai proses sniffing dari http header website http://digitoktavianto.web.id.

Parameter tcpdump:

-s = jumlah bytes data yang di transfer pada setiap packet. Defaultnya adalah 68 bytes yang terdiri dari IP, ICMP, TCP, UDP

-l = stdout line di buffer

-A = print output setiap packet ke dalam ASCII

dst = URL destination

3. Menggunakan tcpdump dan egrep untuk melihat real traffic network :

digit@digit-laptop:~$ tcpdump -i ppp0 -A -s 1024 -n port 80 | egrep -i \(GET.\/\|POST.\/\|Host:\) 

Sample Output :

Host: translate.google.com .n..].@.GET /csi?v=3&s;=translate&action;=t&srt;=323&tran;=16&e;=31216,gbar1&rt;=cl.498,rsw.575,rsl.575,rtl.575,jbl.990,jl.991,br.991,prt.993,ol.1056 HTTP/1.1 Host: csi.gstatic.com .n.G….GET /gen204?hready=hl=en,sl=auto,tl=id,slh=en%7Cde,tlh=id%7Cen,soph=0,ql=0,ttnc=465,uetrans=0 HTTP/1.1 Host: translate.google.com .n.K..z.GET /gen_204?atyp=i&ct;=pp_tos&cd;=display&source;=translate HTTP/1.1 Host: google.com .n….z.GET /gen_204?atyp=i&ct;=pp_tos&cd;=display&source;=translate HTTP/1.1 Host: google.com .n……GET /gen204?hready=hl=en,sl=auto,tl=id,slh=en%7Cde,tlh=id%7Cen,soph=0,ql=0,ttnc=465,uetrans=0 HTTP/1.1 Host: translate.google.com

Parameter Tcpdump :

-i = interface network yang di gunakan -A = print output ke dalam ASCII -s = jumlah bytes data yang di transfer pada setiap packet. Defaultnya adalah 68 bytes yang terdiri dari IP, ICMP, TCP, UDP

Parameter Egrep : -i = ignore case distinction (GET.\/\|POST.\/\|Host:) = Regular Expression untuk melihat proses GET, POST, dan juga HOST

Bersambung.

Comments