Inicio>Relacionado con la programación>Otro código fuente
Descargar

cómo-usar-tcpdump

El comando tcpdump es una famosa herramienta de análisis de paquetes de red que se utiliza para mostrar TCPIP y otros paquetes de red que se transmiten a través de la red conectada al sistema en el que se instaló tcpdump. Tcpdump utiliza la biblioteca libpcap para capturar los paquetes de red y está disponible en casi todas las versiones de Linux/Unix.

Linux Tcpdump: Filtrar paquetes de ping ipv6 ntp

Tcpdump: captura paquetes DHCP y DHCPv6

20 ejemplos avanzados de Tcpdump en Linux

10 ejemplos útiles del comando tcpdump

TCPDUMP

LÉAME

Tcpdump es una de las mejores herramientas de análisis de red para profesionales de la seguridad de la información. Tcpdump es para todos, para hackers y personas que tienen menos conocimientos de TCP/IP.

OPCIONES

A continuación se muestran algunas opciones de tcpdump (con ejemplos útiles) que le ayudarán a trabajar con la herramienta. Son muy fáciles de olvidar y/o confundir con otros tipos de filtros, por ejemplo etéreos, así que espero que este artículo pueda servirte como referencia, como me sirve a mí :)

  • El primero de ellos es -n, que solicita que los nombres no se resuelvan, lo que da como resultado las propias IP.
  • El segundo es -X, que muestra contenido hexadecimal y ascii dentro del paquete.
  • El último es -S, que cambia la visualización de los números de secuencia a absolutos en lugar de relativos.

Muestra el contenido del paquete tanto en hexadecimal como en ascii. 

 tcpdump -X ....

Igual que -X, pero también muestra el encabezado de Ethernet. 

 tcpdump -XX

Mostrar la lista de interfaces disponibles 

 tcpdump -D

Salida legible en línea (para ver mientras guarda o enviar a otros comandos) 

 tcpdump -l

Sea menos detallado (más silencioso) con su producción. 

 tcpdump -q

Proporcione una salida de marca de tiempo legible por humanos. 

 tcpdump -t :

Ofrezca una salida de marca de tiempo lo más legible posible para los humanos. 

 tcpdump -tttt :

Escuche en la interfaz eth0. 

 tcpdump -i eth0

Salida detallada (más v da más salida). 

 tcpdump -vv

Solo obtenga x número de paquetes y luego deténgase. 

 tcpdump -c

Defina la longitud (tamaño) de la captura en bytes. Utilice -s0 para obtener todo, a menos que esté capturando menos intencionalmente. 

 tcpdump -s

Imprime números de secuencia absoluta. 

 tcpdump -S

Obtenga también el encabezado de Ethernet. 

 tcpdump -e

Descifre el tráfico IPSEC proporcionando una clave de cifrado. 

 tcpdump -E

Para más opciones, lea el manual:

  • Encuentra todas las opciones aquí

  • Linux Tcpdump: Filtrar paquetes de ping ipv6 ntp

  • Tcpdump: captura paquetes DHCP y DHCPv6

  • 20 ejemplos avanzados de Tcpdump en Linux

  • 10 ejemplos útiles del comando tcpdump

USO BÁSICO

Mostrar interfaces disponibles 

 tcpdump -D
tcpdump --list-interfaces

Comencemos con un comando básico que nos proporcionará tráfico HTTPS: 

 tcpdump -nnSX port 443

Buscar tráfico por IP 

 tcpdump host 1.1.1.1

Filtrado por Origen y/o Destino 

 tcpdump src 1.1.1.1 
tcpdump dst 1.0.0.1

Encontrar paquetes por red 

 tcpdump net 1.2.3.0/24

Salida baja: 

 tcpdump -nnvvS

Salida media: 

 tcpdump -nnvvXS

Producción pesada: 

 tcpdump -nnvvXSs 1514

Ser creativo

  • Las expresiones son muy agradables, pero la verdadera magia de tcpdump proviene de la capacidad de combinarlas de manera creativa para aislar exactamente lo que estás buscando.

Hay tres formas de hacer combinación:

Y 

 and or &&

O 

 or or ||

EXCEPTO 

 not or !

Ejemplo de uso:

Tráfico que proviene de 192.168.1.1 Y tiene como destino los puertos 3389 o 22 

 tcpdump 'src 192.168.1.1 and (dst port 3389 or 22)'

Avanzado

Muéstrame todos los paquetes URG: 

 tcpdump 'tcp[13] & 32 != 0'

Muéstrame todos los paquetes ACK: 

 tcpdump 'tcp[13] & 16 != 0'

Muéstrame todos los paquetes de PSH: 

 tcpdump 'tcp[13] & 8 != 0'

Muéstrame todos los paquetes RST: 

 tcpdump 'tcp[13] & 4 != 0'

Muéstrame todos los paquetes SYN: 

 tcpdump 'tcp[13] & 2 != 0'

Muéstrame todos los paquetes FIN: 

 tcpdump 'tcp[13] & 1 != 0'

Muéstrame todos los paquetes SYN-ACK: 

 tcpdump 'tcp[13] = 18'

Mostrar todo el tráfico con los indicadores SYN y RST configurados: (eso nunca debería suceder) 

 tcpdump 'tcp[13] = 6'

Mostrar todo el tráfico con el "bit malvado" configurado: 

 tcpdump 'ip[6] & 128 != 0'

Mostrar todo el tráfico IPv6: 

 tcpdump ip6

Imprimir paquetes capturados en ASCII 

 tcpdump -A -i eth0

Mostrar paquetes capturados en HEX y ASCII 

 tcpdump -XX -i eth0

Capturar y guardar paquetes en un archivo 

 tcpdump -w 0001.pcap -i eth0

Leer el archivo de paquetes capturados 

 tcpdump -r 0001.pcap

Capturar paquetes de direcciones IP 

 tcpdump -n -i eth0

Capture solo paquetes TCP. 

 tcpdump -i eth0 tcp

Capturar paquete desde un puerto específico 

 tcpdump -i eth0 port 22

Capturar paquetes desde la IP de origen 

 tcpdump -i eth0 src 192.168.0.2

Capturar paquetes desde la IP de destino 

 tcpdump -i eth0 dst 50.116.66.139

Capture cualquier paquete proveniente de xxxx 

 tcpdump -n src host x.x.x.x

Capture cualquier paquete que venga o vaya a xxxx 

 tcpdump -n host x.x.x.x

Capture cualquier paquete que vaya a xxxx 

 tcpdump -n dst host x.x.x.x

Capture cualquier paquete proveniente de xxxx 

 tcpdump -n src host x.x.x.x

Capture cualquier paquete que vaya a la red xxx0/24 

 tcpdump -n dst net x.x.x.0/24

Capture cualquier paquete proveniente de la red xxx0/24 

 tcpdump -n src net x.x.x.0/24

Capture cualquier paquete con el puerto de destino x 

 tcpdump -n dst port x

Capture cualquier paquete proveniente del puerto x 

 tcpdump -n src port x

Capture cualquier paquete desde o hacia el rango de puertos xay 

 tcpdump -n dst(or src) portrange x-y

Capture cualquier rango de puerto tcp o udp xay 

 tcpdump -n tcp(or udp) dst(or src) portrange x-y

Capture cualquier paquete con dst ip xxxx y puerto y 

 tcpdump -n "dst host x.x.x.x and dst port y"

Capture cualquier paquete con dst ip xxxx y dst puertos x, z 

 tcpdump -n "dst host x.x.x.x and (dst port x or dst port z)"

Captura ICMP, ARP 

 tcpdump -v icmp(or arp)

Capture paquetes en la interfaz eth0 y vuelque al archivo cap.txt 

 tcpdump -i eth0 -w cap.txt

Obtener el contenido del paquete con salida hexadecimal 

 tcpdump -c 1 -X icmp

Mostrar tráfico relacionado con un puerto específico 

 tcpdump port 3389 
tcpdump src port 1025

Mostrar tráfico de un protocolo 

 tcpdump icmp

Buscar tráfico por IP 

 tcpdump host 1.1.1.1

Filtrado por Origen y/o Destino 

 tcpdump src 1.1.1.1 
tcpdump dst 1.0.0.1

Encontrar paquetes por red 

 tcpdump net 1.2.3.0/24

Obtener el contenido del paquete con salida hexadecimal 

 tcpdump -c 1 -X icmp

Mostrar tráfico relacionado con un puerto específico 

 tcpdump port 3389 
tcpdump src port 1025

Mostrar tráfico de un protocolo 

 tcpdump icmp

Mostrar solo tráfico IP6 

 tcpdump ip6

Buscar tráfico mediante rangos de puertos 

 tcpdump portrange 21-23

Encuentre tráfico según el tamaño del paquete 

 tcpdump less 32 
 tcpdump greater 64 
 tcpdump <= 128
 tcpdump => 128

Leer/escribir capturas en un archivo (pcap) 

 tcpdump port 80 -w capture_file
tcpdump -r capture_file

Se trata de las combinaciones

Vista de salida sin procesar 

 tcpdump -ttnnvvS

A continuación se muestran algunos ejemplos de comandos combinados.

Desde una IP específica y con destino a un Puerto específico 

 tcpdump -nnvvS src 10.5.2.3 and dst port 3389

De una red a otra 

 tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

Tráfico no ICMP que va a una IP específica 

 tcpdump dst 192.168.0.2 and src net and not icmp

Tráfico de un host que no está en un puerto específico 

 tcpdump -vv src mars and not dst port 22

Aislar indicadores TCP RST. 

 tcpdump 'tcp[13] & 4!=0'
tcpdump 'tcp[tcpflags] == tcp-rst'

Aislar indicadores TCP SYN. 

 tcpdump 'tcp[13] & 2!=0'
tcpdump 'tcp[tcpflags] == tcp-syn'

Aísle los paquetes que tengan configurados los indicadores SYN y ACK. 

 tcpdump 'tcp[13]=18'

Aislar indicadores TCP URG. 

 tcpdump 'tcp[13] & 32!=0'
tcpdump 'tcp[tcpflags] == tcp-urg'

Aislar indicadores TCP ACK. 

 tcpdump 'tcp[13] & 16!=0'
tcpdump 'tcp[tcpflags] == tcp-ack'

Aislar indicadores TCP PSH. 

 tcpdump 'tcp[13] & 8!=0'
tcpdump 'tcp[tcpflags] == tcp-psh'

Aislar indicadores TCP FIN. 

 tcpdump 'tcp[13] & 1!=0'
tcpdump 'tcp[tcpflags] == tcp-fin'

Comandos que uso casi a diario

Tanto SYN como RST configurados 

 tcpdump 'tcp[13] = 6'

Buscar agentes de usuario HTTP 

 tcpdump -vvAls0 | grep 'User-Agent:'
tcpdump -nn -A -s1500 -l | grep "User-Agent:"

Al usar egrep y múltiples coincidencias, podemos obtener el Agente de usuario y el Host (o cualquier otro encabezado) de la solicitud. 

 tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

Capture solo paquetes HTTP GET y POST, solo paquetes que coincidan con GET. 

 tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

Extraer las URL de solicitud HTTP 

 tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

Extraiga contraseñas HTTP en solicitudes POST 

 tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

Capturar cookies del servidor y del cliente 

 tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

Capture todos los paquetes ICMP 

 tcpdump -n icmp

Mostrar paquetes ICMP que no son ECHO/REPLY (ping estándar) 

 tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

Capturar correo electrónico SMTP/POP3 

 tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'

Solución de problemas de consultas y respuestas NTP 

 tcpdump dst port 123

Capturar credenciales y comandos FTP 

 tcpdump -nn -v port ftp or ftp-data

Rotar archivos de captura 

 tcpdump  -w /tmp/capture-%H.pcap -G 3600 -C 200

Capturar tráfico IPv6 

 tcpdump -nn ip6 proto 6

IPv6 con UDP y lectura de un archivo de captura previamente guardado. 

 tcpdump -nr ipv6-test.pcap ip6 proto 17

Detectar escaneo de puertos en el tráfico de red 

 tcpdump -nn

EJEMPLO DE USO

Filtro de ejemplo que muestra la prueba de script Nmap NSE

  • En el objetivo: 

     nmap -p 80 --script=http-enum.nse targetip

  • En el servidor: 

     tcpdump -nn port 80 | grep "GET /"
  
     GET /w3perl/ HTTP/1.1
     GET /w-agora/ HTTP/1.1
     GET /way-board/ HTTP/1.1
     GET /web800fo/ HTTP/1.1
     GET /webaccess/ HTTP/1.1
     GET /webadmin/ HTTP/1.1
     GET /webAdmin/ HTTP/1.1

Capture paquetes de inicio y fin de cada host no local 

 tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

Capturar solicitud y respuesta de DNS

Filtrado de DNS con Tcpdump 

 tcpdump -i wlp58s0 -s0 port 53

Capturar paquetes de datos HTTP 

 tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

Principales hosts por paquetes 

 tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

Capture todas las contraseñas en texto plano 

 tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user '

Ejemplo de DHCP 

 tcpdump -v -n port 67 or 68

Solicitudes GET de texto sin cifrar 

 tcpdump -vvAls0 | grep 'GET'

Buscar encabezados de host HTTP 

 tcpdump -vvAls0 | grep 'Host:'

Buscar cookies HTTP 

 tcpdump -vvAls0 | grep 'Set-Cookie|Host:|Cookie:'

Buscar conexiones SSH 

 tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D'

Encontrar tráfico DNS 

 tcpdump -vvAs0 port 53

Encontrar tráfico FTP 

 tcpdump -vvAs0 port ftp or ftp-data

Encontrar tráfico NTP 

 tcpdump -vvAs0 port 123

Capturar correo electrónico SMTP/POP3 

 tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'

Modo de búfer de línea 

 tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'

Encuentra tráfico con un bit malvado 

 tcpdump 'ip[6] & 128 != 0'

Filtrar por protocolo (ICMP) y campos específicos del protocolo (tipo ICMP)

Tcpdump: Filtrar paquetes con indicadores Tcp

tcpdump -n icmp y 'icmp[0]!= 8 y icmp[0]!= 0'

Se puede utilizar el mismo comando con el desplazamiento del campo de encabezado predefinido (icmptype) y los valores de campo de tipo ICMP (icmp-echo e icmp-echoreply): 

 tcpdump -n icmp and icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply

Filtrar en el campo TOS 

 tcpdump -v -n ip and ip[1]!=0

Filtrar en el campo TTL 

 tcpdump -v ip and 'ip[8]<2'

Filtrar por indicadores TCP (SYN/ACK) 

 tcpdump -n tcp and port 80 and 'tcp[tcpflags] & tcp-syn == tcp-syn'

En el ejemplo anterior, se capturan todos los paquetes con el indicador TCP SYN establecido. También se pueden configurar otros indicadores (ACK, por ejemplo). Los paquetes que solo tienen configurados indicadores TCP SYN se pueden capturar 

 tcpdump tcp and port 80 and 'tcp[tcpflags] == tcp-syn'

Capture paquetes TCP SYN/ACK (normalmente, respuestas de servidores): 

 tcpdump -n tcp and 'tcp[tcpflags] & (tcp-syn|tcp-ack) == (tcp-syn|tcp-ack)'
tcpdump -n tcp and 'tcp[tcpflags] & tcp-syn == tcp-syn' and 'tcp[tcpflags] & tcp-ack == tcp-ack'

Capturar paquetes ARP 

 tcpdump -vv -e -nn ether proto 0x0806

Filtrar por longitud del paquete IP 

 tcpdump -l icmp and '(ip[2:2]>50)' -w - |tcpdump -r - -v ip and '(ip[2:2]<60)'

Observación: debido a algún error en tcpdump, el siguiente comando no captura los paquetes como se esperaba: 

 tcpdump -v -n icmp and '(ip[2:2]>50)' and '(ip[2:2]<60)'

Filtrar por contenido encapsulado (ICMP dentro de PPPoE) 

 tcpdump -v -n icmp

más tranquilo 

 tcpdump -q -i eth0
tcpdump -t -i eth0
tcpdump -A -n -q -i eth0 'port 80'
tcpdump -A -n -q -t -i eth0 'port 80'

Imprima solo paquetes útiles del tráfico HTTP 

 tcpdump -A -s 0 -q -t -i eth0 'port 80 and ( ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12:2]&0xf0)>>2)) != 0)'

Volcar tráfico SIP 

 tcpdump -nq -s 0 -A -vvv port 5060 and host 1.2.3.4

Comprobando el contenido del paquete 

 tcpdump -i any -c10 -nn -A port 80

Comprobando el contenido del paquete 

 sudo tcpdump -i any -c10 -nn -A port 80

Referencias y wikis impresionantes

Capture paquetes ICMP con Tcpdump

Depuración de paquetes SSH con Tcpdump

Usando Tcpdump para filtrar paquetes DNS

Aprenda la guía rápida de tcpdump

Filtrado de DNS con Tcpdump

Filtrado de paquetes CDP LLDP con Tcpdump

Hoja de referencia de Tcpdump (ejemplos básicos avanzados)

¡FIN!

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo