Comando TCPdump

Mar, 04/20/2010 - 10:49

TCPDump es una aplicación para analizar el tráfico que circula por la red.

Nota: utiliza la librería "pcap", utilizada para capturar paquetes.

Utilización

1.- Averiguamos las interfaces que queremos escuchar:

ifconfig -a

2.- Escuchar interfaz:

tcpdump -i eth0

-n : intenta resolver los nombres de las maquinas.

-s len : establece la longitud de los datos de captura (68 bytes por defecto). Donde len es la longitud que nos interesa.

-x : nos imprime el contenido del paquete.

- s : guardamos el resultado de la captura en un fichero

1) Capturar el trafico cuya IP origen sea 192.168.1.1:

tcpdump src host 192.168.1.1

2) Capturar todo el tráfico cuya dirección origen o destino sea 192.168.1.2:

tcpdump host 192.168.1.2

3) Capturar el tráfico con destino a la dirección ethernet 0:2:a5:ee:ec:10:

tcpdump ether dst 0:2:a5:ee:ec:10

4) Capturar el tráfico que vaya a la máquina cuya dirección ethernet es 0:2:a5:ee:ec:10:

tcpdump ether host 0:2:a5:ee:ec:10

5) Capturar todo el tráfico cuya red destino sea 192.168.1.0:

tcpdump dst net 192.168.1.0

6) Capturar todo el tráfico cuya red origen sea 192.168.1.0/28:

tcpdump src net 192.168.1.0 mask 255.255.255.240

tcpdump src net 192.168.1.0/28

7) Capturar todo el tráfico con origen o destino en la 10.0.0.0/24:

tcpdump net 10.0.0.0/24

tcpdump net 10.0.0.0 mask 255.255.255.0

8) Capturar todo el tráfico con destino al puerto 23:

tcpdump dst port 23

9) Capturar todo el tráfico con destino o origen puerto 80:

tcpdump port 23

10) Capturar el todo los paquetes icmp:

tcpdump ip proto \\ip

11) Capturar todo el tráfico udp:

tcpdump ip proto \\udp

tcpdump udp

12) Capturar el tráfico en un fichero:

tcpdump -w FICHERO dst host SERVIDOR

para leerlo:

tcpdump -n -r FICHERO

13) Captura el tráfico a un fichero con una longitud de 1500 bytes:

tcpdump -w captura.cap dst host 192.168.150.80

para leerlo:

tcpdump -r captura.cap

También podemos leerlo abriendo el fichero con el wireshark.