Introducción
tcpdump es un comando muy útil para inspeccionar y capturar paquetes de red que entran y salen de su máquina. Es una de las utilidades de red más comunes para solucionar problemas de red y problemas de seguridad.
Aunque su nombre es tcpdump, puede usarse para inspeccionar el tráfico que no es TCP, incluido UDP, ARP o ICMP.
Este tutorial le mostrará la forma de usar el comando tcpdump en un sistema Linux.
Instalar tcpdump
De forma predeterminada, tcpdump está instalado en la mayoría de las distribuciones de Linux. Para verificar si tcpdump está instalado o no, ejecute el siguiente comando:
$ tcpdump --version
Salida:
Si aún no se ha instalado, ejecutemos:
$ sudo apt update
$ sudo apt install tcpdump
Capturar paquetes en interfaces de red
Cuando ejecuta tcpdump sin ninguna opción, capturará todos los paquetes en todas las interfaces de red de su computadora.
$ sudo tcpdump
Tienes que presionar Ctrl + C para detener.
Para enumerar todas las interfaces de red cuyos paquetes pueden ser inspeccionados por el comando tcpdump, ejecute:
$ sudo tcpdump -D
La salida:
Si desea capturar paquetes en una interfaz de red específica y limita el paquete a 6, ejecute el siguiente comando:
$ sudo tcpdump -i eth0 -c 6
La salida:
Capturar paquetes de red en un host específico
Para capturar los paquetes de un host específico. Simplemente puede ejecutar el siguiente comando:
$ sudo tcpdump -n host 172.19.11.101 -c 5
Capturar paquetes de red en un puerto específico
Si desea filtrar solo los paquetes de red en un puerto específico, ejecutemos el comando tcpdump con la opción de puerto -n.
$ sudo tcpdump -n port 22
Capturar paquetes de red desde el origen y el destino
Si desea filtrar solo los paquetes de red que provienen de una fuente específica, ejecute el comando tcpdump con la opción src.
$ sudo tcpdump src 172.19.11.210
Con el propósito de capturar solo paquetes de red a un destino específico, ejecute el comando tcpdump con la opción dst.
$ sudo tcpdump dst 172.19.11.210
Capture paquetes de red con muchos filtros combinados
Para combinar muchos filtros al ejecutar el comando tcpdump, puede usar estos operadores:y (&&), o (||), no (!). Por ejemplo, el siguiente comando capturará todos los paquetes que provengan del origen 172.19.11.210 a través del puerto 22.
$ sudo tcpdump src 172.19.11.210 && -n port 22 -c 5
Filtrar red por un protocolo
Para capturar los paquetes de red de un protocolo en particular, especifiquemos el nombre del protocolo como una opción de comando. Por ejemplo:
$ sudo tcpdump -n udp
Conclusión
Ya revisó los detalles de cómo usar el comando tcpdump para solucionar problemas y analizar la red en su sistema Linux.
Si tiene alguna inquietud, hágamelo saber. Gracias por leer.