Capturar el trafico de red con tcpdump

Capturar el tráfico de red con tcpdump.

Con la herramienta tcpdump podemos interceptar, leer y guardar los paquetes TCP / IP que fluyen a través de una interfaz de red en particular.

Estos paquetes son la unidad principal de datos que se transmiten a través de una red TCP / IP, como por ejemplo «Internet«. Los paquetes constan de dos tipos de datos, unos son datos de control y los otros son datos del usuario.

Los datos de control contienen la información sobre dónde se entregarán los datos del usuario, de dónde provienen, cuál es su tamaño, e información sobre los datos reales del usuario. Los datos del usuario son los datos reales que se transmiten (pueden incluir muchas cosas diversas), incluso pueden contener contraseñas y nombres de usuario (si se envían en texto sin cifrar).

Al ejecutar tcpdump en línea de comandos, podemos capturar y mostrar los paquetes que pasan a través de la interfaz de red predeterminada del sistema, pero ojo… si tan solo ejecutas tcpdump lo único que veras los paquetes al completo con sus datos de control de forma indiscriminada.Realmente no veras ningún dato del usuario, y precisamente de eso trata el articulo de hoy.

Vemos como utilizar «tcpdump» con sus opciones.

Como capturar el trafico de la red con TCPDUMP

Como capturar el trafico de la red con TCPDUMP

 

Capturar el tráfico de red con tcpdump

Para ver los datos de usuario aplicamos la opción «-X«.

La herramienta también nos permite almacenar los datos capturados en un archivo de texto, pero ten cuidado que se llena muy rápido.

Por defecto la herramienta tcpdump captura los datos de la interface de red predeterminada del sistema, si quieres que capture de todas las interfaces instaladas aplicamos la opción «-i any»

Si quieres especificar una interface… por ejemplo eth1.

Para deshabilitar la resolución de nombres de host y dominios, lo que puede ahorrar un poco de tiempo y solo mostrar las direcciones IP, usamos la opción «-n«. Si tampoco queremos ver las denominaciones de los puertos, aplicamos «-nn«.

También podemos especificar el numero de paquetes a mostrar, y que no se ejecute indefinidamente. En el ejemplo 50.

Si quieres asegurarte de ver la máxima información posible que se está capturando, utiliza las opciones de verbosidad. Estas opciones nos permiten aumentar la verbosidad hasta tres veces aplicando «-v«, «-vv« o «-vvv« . Además podemos usar la opción «-S« y que nos muestre los números de secuencia absolutos en vez de los relativos (así nos aseguramos de ver los números reales). En el comando de ejemplo indicamos que imprima la máxima información posible sobre 200 paquetes, y que los guarde en el archivo paquetes.txt.

Finalizamos el articulo, si quieres profundizar aun más en la herramienta te recomiendo que revises el manual que trae la aplicación incluido.

 

Espero que este articulo sea de utilidad, puedes colaborar con nosotros con una donación (paypal), o con el simple gesto de compartir los manuales en tu sitio web, blog, foro o redes sociales.

 

Agregar comentario