V
e
r

l
i
s
t
a
d
o

tractatus@lapipaplena:/# _

 

tcpdump

Capturar el trafico de la red.

# tcpdump -D
Ver las distintas redes disponibles
# tcpdump -nni any
Capturar todas las interfaces de red del equipo
# tcpdump -n -i eth0 -s 1515 -w archivo
que la información se guarde en archivo
# tcpdump -n -i eth0 -s 1515 -l | tee archivo
verlo en pantalla y que se guarde en archivo
# tcpdump -n -r archivo -c 4
analizar ficheros
# tcpdump -n -r archivo udp
filtrar por protocolos - udp, tcp, icmp, arp ...
# tcpdump -n -r archivo -c 2 not tcp
con operadores booleanos [not, and]. Ver las 2 primeras capturas que no sean tcp
# tcpdump -n -r archivo -c 2 not tcp and not udp
Ver las 2 primeras capturas que no sean tcp ni udp
# tcpdump -n -r archivo -c 2 tpc and dst port 25
Ver las 2 primeras capturas tcp y dst con destino al puerto 25
# tcpdump -enni eth0
info de la capa de enlace y MACs origen y destino
# tcpdump host 192.168.1.3
Capturar todo el tráfico del host especificado
# tcpdump src net 192.168.1.0/28
Especificando una red
# tcpdump src host 192.168.1.3
Solo lo que salga de la IP especificada
# tcpdump dst port 23
Todo el trafico que vaya dirigido al puerto 23
# tcpdump udp and dst port 53
Capturar tráfico de comunicación con las DNS
# tcpdump tcp and not port 80
Capturar todo el tráfico excepto el web
# tcpdump tcp and port 80
Capturar solo el web
# tcpdump -i eth0 port not 80 and host www.google.com
Para saber si google manda “cosas” por otros puertos que no sean el 80
# tcpdump -n -i eth1 -X tcp
Ver información del contenido de los paquetes
# tcpdump ether src 01:20:21:00:00:B2
Captura tráfico de la mac
# tcpdump udp and dst port 53
Capturar peticiones DNS
# tcpdump tcp and (port 22 or port 23)
Capturar el tráfico telnet y ssh
# tcpdump portrange 21-23
tráfico origen/destino de los puertos 21, 22 o 23
# tcpdump -n -i eth1 -X -s 200 port 9001
de un puerto concreto
# tcpdump -v -i eth1 port 9001 | awk '{print$1,$2,$3}'
# tcpdump port 9001
Capturar todo el tráfico del puerto especificado

Algunas opciones:

-n (Para no resolver las direcciones IP)

-i (Indica la interfaz de red)

-s (volumen de la parte del paquete que queremos capturar [1515 es suficiente])

-c (cantidad de mensajes a visualizar)

-p (no cambia la interfaz a modo promiscuo)

-x (ver los contenidos de los paquetes)

-r archivo (Para leer los datos de un archivo guardado con la opción -w)

src (Dirección y puerto origen)

dst (Dirección y puerto destino)

1.-

Ejemplo de un proceso:

# tcpdump -nni eth0 'port 80' -w /tmp/port.80
Capturar el tráfico por el puerto 80 y mandarlo a un archivo
# tcpdump -r /tmp/port.80 -nn
Análisis básico de los datos
# tcpdump -r /tmp/port.80 -nn 'host !216.158.240.43'
Filtrar los datos descartando un host
# tcpdump -r /tmp/port.80 -nn 'host !216.158.240.43' -w /tmp/port.80.b
Lo mismo enviando los nuevos datos a otro fichero
Navegando por staredsi.eu aceptas las cookies que utilizamos en esta web. Más información: Ver política de cookies
[0] 0:bash*
1837 entradas - Acerca del Tractatus
La Pipa Plena 2018