Início > Ferramentas, Tutoriais > Filtros úteis para o tcpdump

Filtros úteis para o tcpdump

Quando não possuímos a ferramenta adequada só nos resta improvisar, este post demonstra a utilização do tcpdump para descoberta de pacotes LLDP (Link Layer Discovery Protocol) e CDP (Cisco Discovery Protocol)

Antes de mais nada, uma breve explicação dos protocolos:

CDP (Cisco Discovery Protocol) é um protocolo proprietário desenvolvido pela Cisco e é padrão em todos os seus equipamentos de rede, também está presente em outros equipamentos tais como os fabricados pela Ubiquiti Networks. Atua na camada de ligação de dados (layer 2) do modelo OSI.

O Protocolo LLDP (Link Layer Discovery Protocol), é um protocolo de camada 2, independente de fabricante, utilizado por dispositivos de rede para anunciar sua identidade, capacidades e dispositivos próximos, numa rede local padrão IEEE 802, principalmente numa rede ethernet. Este protocolo é formalmente referido pela IEEE como Descoberta de Estações e Controle de Acesso ao Meio especificado pelo padrão IEEE 802.1AB.

Agora vamos ao problema: Certa feita, precisei realizar uma manutenção em uma rede, mas não possuia o utilitário de discovery do fabricante, o acesso externo estava limitado a algumas páginas e nenhum download de progrmas era permitido, após uma pesquisa rápida encontrei os seguintes filtros:

Trafego LLDP:
# tcpdump -i eth0 ether proto 0x88cc

Trafego CDP:
# tcpdump -i eth0 -vvv -s 1500 ‘ether[20:2] == 0x2000’

E se preferir o wireshark:
# tshark -i eth0 ‘multicast and (ether[12:2]=0x88cc or ether[20:2]=0x2000)’

Com isto consegui localizar o endereço dos dispositivos e concluir meu trabalho de configuração/substituição.

Referências:

  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: