Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1082
)
-
▼
diciembre
(Total:
34
)
- Desmantelado por Europol el Servicio de mensajería...
- Encuentran el spyware Pegasus en teléfonos de usua...
- DDoSecrets presenta un motor de búsqueda masivo co...
- Raspberry Pi 500, la potencia de la SBC en un teclado
- Novedades del Linux Manjaro 24.2 Yonada
- OpenAI lanza Sora, su revolucionario generador de ...
- En España la CNMC ha sufrido un grave hackeo que h...
- Diagnóstico de problemas para GPUs NVIDIA
- SpeedStep, EIST, PowerNow!, Turbo Core, Turbo Boos...
- Cómo poner la voz de los Minions en Waze
- Actualizaciones de seguridad críticas para Django
- Cómo recuperar mensajes eliminados de WhatsApp y r...
- Grok, la IA de X (Twitter), ahora se puede usar gr...
- ¿Qué es un HDMI dummy o fantasma? ¿Para qué sirve?
- Un ciberataque al Colegio de Veterinarios comprome...
- Ciberataque expone datos de usuarios personales de...
- Comando tcpdump de Linux: cómo analizar paquetes e...
- Campaña Phishing con "archivos dañados de Word"
- Cómo eliminar anuncios en Windows con Winaero Tweaker
- Microsoft anuncia un nuevo editor de video: fusion...
- Vulnerabilidad crítica en Veeam Service Provider C...
- Ransomware FOG activo en América Latina
- ¿Qué es una centralita virtual?
- SafeLine: un WAF de código abierto
- Intel presenta nueva generación de tarjetas gráfic...
- AnimeFenix cierra mientras que GogoAnime y Anitaku...
- Kali Linux vs Parrot OS vs BlackArch
- Se puede acceder a la webcam de algunos portátiles...
- OFGB, la app para quitar todos los anuncios de Win...
- HandBrake 1.9: nueva versión del transcodificador...
- OpenWrt One, disponible el primer router oficial p...
- La Raspberry Pi Compute Module 5 aterriza para dar...
- AEAT (Agencia Tributaria) de España víctima del gr...
- Meta planea instalar un cable submarino de fibra ó...
- ► septiembre (Total: 50 )
-
▼
diciembre
(Total:
34
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un conector HDMI dummy o fantasma no es más que un HDMI que simula que hay una pantalla conectada. Tienen una variedad de propósitos útil...
-
En WhatsApp se han dicho verdaderas barbaridades. Todos hemos cometido el error de escribir algo en caliente . Y de arrepentirnos. Tal vez ...
Comando tcpdump de Linux: cómo analizar paquetes en tu red
TCPDump es una poderosa herramienta de línea de comandos utilizada para capturar y analizar el tráfico de red en sistemas Unix, incluyendo Linux. Con TCPDump, los administradores de sistemas y los ingenieros de redes pueden monitorear y diagnosticar el tráfico de red en tiempo real, lo que lo convierte en una herramienta invaluable para la resolución de problemas y el análisis de seguridad.
Comando tcpdump para analizar tráfico de red
TCPDUMP o TCP DUMP es una herramienta open source enfocada en el análisis de la red, que se utiliza a través de la línea de comandos. Es uno de los sniffers más populares, TCPDUMP se ejecuta en la mayoría de distribuciones de Linux; para windows, puede utilizar la versión WindDump la cual puede encontrar en https://www.winpcap.org/windump/Útil para quienes gestionan redes y necesitan ver el tráfico para identificar problemas.
- Como apoyo para troubleshooting (solución de problemas)
- Es muy útil para los pentesters y ethical hackers durante cualquier tipo de escaneo, ya que es importante observar de forma detallada algunos paquetes generados por las herramientas de scanning durante una prueba.
- En ocasiones la captura de un paquete y la información que se puede obtener de la misma, brinda más herramientas para el análisis, que la salida dada por una herramienta de scanning de puertos, etc.
¿Existen alternativas?
La alternativa más popular es Wireshark; con Wireshark se tiene el acceso a una interfaz gráfica de usuario.
¿Para qué sirve el comando tcpdump de Linux?
tcpdump es una herramienta especialmente valiosa para analizar el tráfico de red en Linux y, en caso necesario, solucionar posibles problemas de red. Este programa de línea de comandos, que se encuentra preinstalado en la mayor parte de las distribuciones de Linux más conocidas (como Debian o Ubuntu), proporciona información sobre los paquetes de datos que han sido enviados o recibidos en tu red. A pesar de lo que su nombre pueda indicar, el comando tcpdump de Linux permite analizar, además de paquetes TCP, paquetes UDP e ICMP. No obstante, para usar este comando vas a necesitar permisos root.
¿Cómo funciona el comando tcpdump?
La función que realiza tcpdump se conoce como “sniffing”. Al utilizar el comando tcpdump en Linux, especificas la interfaz de red que el programa debe monitorizar. Además, podrás hacer uso de distintos filtros para adaptar y optimizar el proceso. El comando se ejecuta en la línea de comandos y es ahí donde se mostrarán los resultados correspondientes del análisis.
¿Cómo es la sintaxis de tcpdump?
La sintaxis de Linux tcpdump es muy simple y se corresponde con:
$ tcpdump [opciones] [filtros]
Aunque no es necesario especificar ninguna opción, es recomendable hacerlo para asegurarte de que tcpdump tiene en cuenta la interfaz de red adecuada. Los filtros tampoco son obligatorios, pero si no se especifica ninguno, cpdump analizará todos los paquetes de todos los hosts, lo que puede generar una gran cantidad de información que haga difícil comprender y analizar los datos obtenidos.
¿Qué opciones y filtros se pueden usar con Linux tcpdump?
tcpdump se puede usar con gran variedad de opciones y filtros. Las opciones más importantes son las siguientes:
- A: imprime el contenido de un paquete en ASCII.
- c [cantidad]: tcpdump se detiene automáticamente tras analizar la cantidad especificada de paquetes.
- D: con esta opción se muestra una lista de todas las interfaces disponibles.
- i [Interfaz]: con esta opción se especifica la interfaz que se debe capturar.
- s [cantidad]: establece cuántos bytes por paquete se deben capturar.
Con tcpdump se pueden usar los siguientes filtros:
- dst: solo se analizan paquetes cuyo destino coincide con el valor establecido. Este valor puede ser host, net, port o portrange.
- host: este filtro se ocupa de que solo se tengan en cuenta los paquetes que tienen una dirección IP específica como origen o destino, o en su lugar, un nombre de host específico.
- net: este filtro solo considera los paquetes que tienen una dirección IP dentro de un rango de red específico como origen o destino.
- port: con este filtro se especifica un puerto específico entre 0 y 65535, que se analizará de forma exclusiva.
- portrange: este filtro contiene un rango de puertos entre 0 y 65535 que se analizará de forma exclusiva.
- proto: este filtro solo considera los paquetes con un protocolo de red específico. El filtro puede tener los siguientes valores: arp, decnet, ether, fddi, ip, ip6, rarp, tcp, udp o wlan.
- src: solo se analizan los paquetes cuyo origen coincide con un valor establecido. Este valor puede ser host, net, port o portrange.
Opciones más avanzadas
Además de los anteriores usos, también se pueden llegar a usar opciones más avanzadas con tal de poder afinar aún más la captura de tráfico de red. Por tanto, si en tu caso te interesa hacer uso de estas funcionalidades más avanzadas, debes conocer las siguientes alternativas que son útiles de usar en cualquier momento:
- -A: consigue que se muestren los datos de paquetes capturados como texto ASCII.
- -X: en este caso hace que sea posible mostrar los datos de paquetes que se hayan capturado en formato hexadecimal y ASCII.
- -vv: con este se sube el nivel de las palabras para conseguir mostrar más detalles sobre cada uno de los paquetes que se hayan podido capturar. Es decir, muestra información adicional, entre lo que se incluye los parámetros de las cabeceras de protocolo.
- -w: en este caso, se escribe para permitir el guardado de la salida en un archivo con formato pcap.
Ejemplos de uso
Este programa tiene una gran cantidad de opciones para capturar los datos y también para visualizarlos, además, tenemos la posibilidad de añadir una gran cantidad de filtros avanzados para que nos muestre solamente lo que queramos. A continuación, os vamos a explicar algunos comandos básicos para que captures solamente lo que te interese.
Uso básico
El siguiente comando nos permite arrancar el programa, si no especificamos ninguna interfaz de red, la propia herramienta elegirá una de las que estén disponibles en el sistema operativo.
tcpdump
Si queremos especificar una interfaz de red, debes poner la siguiente orden:
tcpdump -i NOMBRE_INTERFAZ
Si queremos especificar todas las interfaces de red, para capturar todo el tráfico de todas ellas a la vez, entonces tienes que poner la siguiente orden:
tcpdump -i any
Cuando capturamos tráfico de red con tcpdump, es posible que no nos interese resolver los nombres de los hosts, sino que directamente nos muestre las direcciones IP. Para hacer esto, podemos poner:
tcpdump -n
Si quieres capturar solamente un cierto número de paquetes, entonces deberás poner la siguiente orden:
tcpdump -c NUMERO_PAQUETES
Si queremos aumentar la información que nos muestra a través de la línea de comandos, debemos aumentar el «verbose» de la siguiente forma:
tcpdump -i NOMBRE_INTERFAZ -v
Si queremos aumentarlo más, añadiremos más «v» detrás, de la siguiente forma:
tcpdump -i NOMBRE_INTERFAZ -vvv
Este último comando nos permite ver el máximo verbose posible.
Si queremos guardar la captura en un archivo, para posteriormente abrirlo con un analizador de paquetes como WireShark, o para su posterior análisis, debemos poner la siguiente orden:
tcpdump -i NOMBRE_INTERFAZ -w NOMBRE_ARCHIVO
Por supuesto, si queremos guardar todo con el máximo verbose, pondremos:
tcpdump -i NOMBRE_INTERFAZ -w NOMBRE_ARCHIVO -vvv
Capturando tráfico por IP o subred
tcpdump nos permite filtrar por direcciones IP e incluso subredes, para ello, podemos poner la siguiente orden:
tcpdump -i NOMBRE_INTERFAZ host IP
Por ejemplo, podríamos ver el tráfico de la IP de localhost:
tcpdump -i NOMBRE_INTERFAZ host 127.0.0.1
También podemos filtrar por subredes de la siguiente forma:
tcpdump -i NOMBRE_INTERFAZ net SUBRED/X
A continuación, puedes ver un ejemplo de subred:
tcpdump -i NOMBRE_INTERFAZ net 192.168.1.0/24
También podríamos filtrar por origen y por destino, a continuación, puedes ver dos ejemplos:
tcpdump -i NOMBRE_INTERFAZ src IP tcpdump -i NOMBRE_INTERFAZ dst IP
Con estas opciones, podremos filtrar fácilmente el tráfico que solamente queramos capturar y mostrar.
Capturando tráfico por puerto y rangos
En el caso de que quieras filtrar por puertos, ya sea un puerto únicamente o un rango de puertos, puedes hacerlo de la siguiente forma:
tcpdump -i NOMBRE_INTERFAZ port NUMERO_PUERTO tcpdump -i NOMBRE_INTERFAZ portrange PUERTOINICIO PUERTOFIN
Todos estos comandos también se pueden añadir a tcpdump para filtrar por IP y puertos, e incluso también para guardar en un archivo pcap toda la captura de tráfico. De esta forma, podemos ir concatenando las diferentes opciones disponibles con los filtros que hayamos definido.
Ejemplos para el comando tcpdump
Finalmente, te mostramos cómo puedes usar tcpdump. En el ejemplo que puedes encontrar a continuación, se usa un comando sudo de Linux.
$ sudo tcpdump -D
De este modo puedes comprobar qué interfaces de red están disponibles.
$ sudo tcpdump -i wlx14a3c782966b
De este modo, solo se analiza la interfaz del nombre especificado.
$ sudo tcpdump -c 5 -i wlx14a3c782966b
De esta forma indicas que tcpdump solo incluya cinco paquetes.
Capturar Tráfico entre dos Hosts Específicos
sudo tcpdump -i eth0 host 192.168.1.100 and host 192.168.1.200
Este comando capturará solo el tráfico entre los hosts 192.168.1.100
y 192.168.1.200
en la interfaz eth0
.
TCPDump es una herramienta extremadamente versátil y potente para capturar y analizar el tráfico de red en sistemas Unix-like. Con una amplia gama de opciones y filtros disponibles, TCPDump proporciona a los administradores de sistemas y a los ingenieros de redes las herramientas necesarias para monitorear y diagnosticar el tráfico de red de manera efectiva. Al dominar TCPDump y sus opciones, los profesionales pueden mejorar significativamente su capacidad para resolver problemas de red y mejorar la seguridad de sus sistemas.
Capturar Tráfico y Guardarlo en un Archivo
sudo tcpdump -i eth0 -w captura.pcap
Este comando capturará el tráfico en la interfaz eth0
y lo guardará en un archivo llamado captura.pcap
.
Fuentes:
https://www.ionos.es/digitalguide/servidores/configuracion/comando-tcpdump-de-linux/
https://nosololinux.es/tcpdump-un-analisis-completo-del-comando-en-linux/
https://www.redeszone.net/tutoriales/servidores/tcpdump-capturar-trafico-red-linux/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.