Volver al índice


tcpdump

Capturar el trafico de la red.

# tcpdump -D (Ver las distintas redes disponibles)

# tcpdump -nni any (Capturar todas las interfaces de red del equipo)

# tcpdump -n -i eth0 -s 1515 -w archivo (que la información se guarde en archivo)

# tcpdump -n -i eth0 -s 1515 -l | tee archivo (verlo en pantalla y que se guarde en archivo)

# tcpdump -n -r archivo -c 4 (analizar ficheros)

# tcpdump -n -r archivo udp (filtrar por protocolos - udp, tcp, icmp, arp ...)

# tcpdump -n -r archivo -c 2 not tcp (con operadores booleanos [not, and]. Ver las 2 primeras capturas que no sean tcp)

# tcpdump -n -r archivo -c 2 not tcp and not udp (Ver las 2 primeras capturas que no sean tcp ni udp)

# tcpdump -n -r archivo -c 2 tpc and dst port 25 (Ver las 2 primeras capturas tcp y dst con destino al puerto 25)

# tcpdump -enni eth0 (info de la capa de enlace y MACs origen y destino)

# tcpdump host 192.168.1.3 (Capturar todo el tráfico del host especificado)

# tcpdump src net 192.168.1.0/28 (Especificando una red)

# tcpdump src host 192.168.1.3 (Solo lo que salga de la IP especificada)

# tcpdump dst port 23 (Todo el trafico que vaya dirigido al puerto 23)

# tcpdump udp and dst port 53 (Capturar tráfico de comunicación con las DNS)

# tcpdump tcp and not port 80 (Capturar todo el tráfico excepto el web)

# tcpdump tcp and port 80 (Capturar solo el web)

# tcpdump -i eth0 port not 80 and host www.google.com (Para saber si google manda “cosas” por otros puertos que no sean el 80)

# tcpdump -n -i eth1 -X tcp (Ver información del contenido de los paquetes)

# tcpdump ether src 01:20:21:00:00:B2 (Captura tráfico de la mac)

# tcpdump udp and dst port 53 (Capturar peticiones DNS)

# tcpdump tcp and (port 22 or port 23) (Capturar el tráfico telnet y ssh)

# tcpdump portrange 21-23 (tráfico origen/destino de los puertos 21, 22 o 23)

# tcpdump -n -i eth1 -X -s 200 port 9001 (de un puerto concreto)

# tcpdump -v -i eth1 port 9001 | awk '{print$1,$2,$3}'

# tcpdump port 9001 (Capturar todo el tráfico del puerto especificado)

Algunas opciones:

-n (Para no resolver las direcciones IP)

-i (Indica la interfaz de red)

-s (volumen de la parte del paquete que queremos capturar [1515 es suficiente])

-c (cantidad de mensajes a visualizar)

-p (no cambia la interfaz a modo promiscuo)

-x (ver los contenidos de los paquetes)

-r archivo (Para leer los datos de un archivo guardado con la opción -w)

src (Dirección y puerto origen)

dst (Dirección y puerto destino)

1.-

Ejemplo de un proceso:

# tcpdump -nni eth0 'port 80' -w /tmp/port.80 (Capturar el tráfico por el puerto 80 y mandarlo a un archivo)

# tcpdump -r /tmp/port.80 -nn (Análisis básico de los datos)

# tcpdump -r /tmp/port.80 -nn 'host !216.158.240.43' (Filtrar los datos descartando un host)

# tcpdump -r /tmp/port.80 -nn 'host !216.158.240.43' -w /tmp/port.80.b (Lo mismo enviando los nuevos datos a otro fichero)


Volver al índice