Imprimir este CapítuloImprimir este Capítulo

TCP

6. Tcpdump

Tcpdump (y su port a Windows, Windump) son programas cuya utilidad principal es analizar el tráfico que circula por la red.

Se apoya en la librería de captura pcap, la cual presenta una interfaz uniforme y que esconde las   peculiaridades de cada sistema operativo a la hora de capturar tramas de red. Para seguir el manual es necesario unos conocimientos basicos del protocolo TCP/IP, remitiéndome al TCP/IP Illustrated, Volumen 1 de Stevens, para quien esté interesado.

Aunque viene incluido con la mayoría de las distribuciones de Linux, sus fuentes pueden encontrarse en www.tcpdump.org

El port completo para Windows, tanto de las librerias como del tcpdump puede encontrarse en la web de la Politécnica de Torino. Es un simple binario, que necesita tener instalado el port de las pcap para windows para funcionar.

Lo primero que debemos averiguar cuando estamos usando el tcpdump, es las interfaces que queremos escuchar. Por defecto cuando se ejecuta sin parámetros, en los Linux se pone a escuchar en la eth0, mientras que en Windows hay que especificarla la interfaz donde quiere escuchar.

Para averiguar la interfaces en cualquier Unix recurrimos al comando ifconfig -a el cual nos da una lista de las interfaces que tenemos, así como sus parametros de configuración.


Podemos ver que existen numerosos parámetros para el comando tcpdump (la imagen es un printscreen de un Linux).

Si tomamos wlp1s0 para capturar, con el  argumento -i de interface y ejecutamos como superusuario veremos algo como:


Con el argumento -i any, capturamos de TODAS las interfaces.

Cuando capturamos tráfico de red con tcpdump, es posible que no nos interese resolver los nombres de los hosts, sino que directamente nos muestre las direcciones IP. Para hacer esto, podemos poner:



Si queremos guardar la captura en un archivo, para posteriormente abrirlo con un analizador de paquetes como WireShark, o para su posterior análisis, debemos poner la siguiente orden:


Este archivo se puede abrir con el Wireshark y se vería como :



Si quisieramos captura el tráfico de una subred 192.168.25.0/24 de la interface wlp1s0 :


También podemos capturar por origen de IP


o por destino de IP.



https://kripkit.com/tcpdump/

https://www.marindelafuente.com.ar/tutorial-de-tcpdump/