TCP dump

Minggu, 22 Mei 2011

TCP/IP merupakan standar de facto untuk komunikasi antara dua komputer atau lebih. IP (Internet Protocol) menjalankan fungsinya pada network layer (pengalamatan dan routing) sedangkan TCP (Transmission Control Protocol) menyediakan jalur hubungan end-to-end (transport layer).
TCPdump adalah tools yang berfungsi mengcapture, membaca atau mendumping paket yang sedang ditransmisikan melalui jalur TCP.
TCPdump diciptakan untuk menolong programer ataupun administrator dalam menganalisa dan troubleshooting aplikasi networking. Seperti pisau yang bermata dua (hal ini sering kali disebut-sebut), TCPdump bisa digunakan untuk bertahan dan juga bisa digunakan untuk menyerang.
Utility ini juga seringkali digunakan oleh para cracker untuk melaksanakan perkerjaannya, karena TCPdump bisa mengcapture atau mensniff semua paket yang diterima oleh network interface.
Sama halnya dengan tujuan diciptakannya TCPdump, dalam kesempatan ini kami tidak akan menjelaskan tentang bagaimana cara mengcapture/mensniff semua paket yang diterima oleh network interface, tp kami akan coba membahas bagaimana TCPdump digunakan untuk menganalisa koneksi yang terjadi antara dua sistem
Untuk menginstall iftop, pada terminal atau konsol ketik
$ sudo apt-get install tcpdump
Parameter TCPDUMP
-i Interface à   untuk membatasi paket data yang sedang berlangsung. -i interface dapat digunakan untuk memberitahu tcpdump untuk hanya memeriksa paket-paket dari interface tertentu. Misalnya, untuk hanya memeriksa paket pada interface ppp0, gunakan:
# tcpdump -i  -ppp0
-n                       seperti parameter arp -n, tcpdump juga menggunakan -n untuk tidak melakukan resolusi nama pada namanya.
-q                       q atau quiet mode, memberitahu tcpdump untuk hanya mencetak protokol Layer 4 (tcp, udp, atau ICMP) dan nomor port atau nama.
-t                         parameter –t menginstruksikan tcpdump untuk tidak mencetak timestamp pada output.
-x                        parameter –x akan menyebabkan tcpdump untuk mencetak paket dalam heksadesimal.
-w Namafile    ketika output tcpdump perlu disimpan, -w dapat digunakan untuk menyimpan file dalam format lipbcap, yang menghemat ruang, serta meletakkan file dalam format yang dapat dibaca oleh banyak analis jaringan lainnya. File yang dibuat oleh tcpdump dapat tumbuh dengan cepat, sehingga ruang hardisk harus diawasi dengan baik saat menyimpan file.
#tcpdump -i ppp0 -w ruwetsajan
Berikut contoh tampilannya:
Tekan Ctrl + C untuk mengakhiri proses penyimpanan.
-r Namafile         file yang dibuat oleh opsi –w dapat dibaca kembali oleh tcpdump, dan analisis lebih lanjut dapat dilakukan pada paket.
Berikut contoh tampilan hasil yang disimpan tadi:
#tcpdump -i ppp0 -r ruwetsajan
Cara Membaca Output TCPDUMP
Contoh hasil output :
Disini kita akan bahas garis dasar hasil output dari tcpdump yaitu yang diblok hitam.
Kolom pertama di output tcpdump adalah cap waktu dengan nomor urutan tambahan yang ditambahkan setelah detik. Setelah cap waktu adalah simbol >, yang menandakan arah paket data. < menandakan masuk dan > menandakan keluar. Berikutnya adalah alamat sumber dari paket diikuti dengan port (www). Diikuti dengan tujuan (ubuntu) dan nomor port(39726), diikuti oleh ukuran window (5101), dengan panjang data sebanyak 1388. 

source : http://cicink.wordpress.com/2011/01/25/tcpdump/

0 komentar: