Usando Tcpdump

Ya que no encontraba nada básico para darle a unas amigas que necesitaban aprender a usar tcpdump (tampoco busque mucho) pues me curré un mini manual sobre tcpdump :-)

Introduzcamos:

• ¿Que es tcpcump ? Es una herramienta para capturar paquetes en tiempo real..
• El objetivo de este es poder saber que paquetes acceden a nuestra maquina, cuales enviamos,….

Esto a grandes rasgos... vamos a la práctica:

Vamos ahora a entrar un poco en la practica y a ver como se usa básicamente el tcpdump.

Lo ejecutamos simplemente escribiendo:

tcpdump

Pero esto no es lo normal, empecemos a introducir opciones y comentar para que es cada una.

Algunos ejemplos rapidos de tcpdump:

tcpdump –i eth0 –c 100 –s 500

Nos sacará por pantalla los primeros 100 paquetes (-c 100) que pasen por la interfaz eth0 (-i eth0) con un tamaño maximo de paquete de 500 bytes (-s 500)

tcpdump –qec 1

Tenemos varias formas de sacar paquetes por pantalla: -q (quiet o silencioso (poca informacion)) y –v y –vv que van de menos a mas informacion. La opcion –e nos sacará las direcciones mac origen/destino y –c 1 nos sacará solo el primer paquete como ya hemos explicado antes.

Que tipo de trafico podemos capturar: Podemos capturar trafico basado en:
- Direcciones
- Protocolos
- Puertos
- Caracteristicas de paquetes
- Combinacion de todos estos

Filtrando por direcciones

tcpdump host pedro

Nos sacará toda la informacion relativa al host ‘pedro’.

tcpdump dst host pedro

Nos sacará toda la informacion donde el host destino sea ‘pedro’

tcpdump ether src host 0:a0:3b:3:e1:1d

Nos sacará toda la informacion donde la tarjeta de red de origen sea la direccion mac: 0:a0:3b:3:e1:1d (Sintaxis: ether host )

tcpdump –c 100 net 192.168.1.0 mask 255.255.255.0

Mostrará los primeros 100 paquetes (-c 100) de la red 192.168.1.0 (net 192.168.1.0) con una mascara de red de 255.255.255.0 (mask 255.255.255.0)

Filtrando por protocolos

tcpdump upd

Mostrará todos los paquetes que viajen por udp

tcpdump –i eth0 –c 1000 –s 300 udp

Mostrará los primeros 1000 (-c 1000) paquetes de la interfaz eth0 (-i eth0) con un tamaño de paquete maximo de 300 bytes (-s 300) en el protocolo udp.

tcpdump port 23

Mostrará todos los paquetes que vayan por el puerto 23

Mezclando filtros

tcpdump not port 22

Mostrará toda la informacion excepto la que vaya por el puerto 22

tcpdump port 23 and host pedrito

Mostrará toda la informacion que vaya por el puerto 23 y por el host pedrito

tcpdump not “(port 23 and host pedrito and host marcos)”

Mostrará toda la informacion que ni vaya por el puerto 23, ni por el host pedrito ni por el host marcos

tcpdump dst host pedrito and dst port 80

Mostrará toda la informacion que vaya al host pedrito (dst host pedrito, usualmente mi maquina) y al puerto destino 80 (dst port 80)

tcpdump –i etho –c 100 –s 1000 src host marcos and “(dst host pedrito or dst host luisito)” and dst port 22

Como veis, mezclando informacion podemos tener filtros largos y todo lo complicados que queramos… este filtro nos mostrará los primeros 100 paquetes que pasen por la interfaz eth0 (-i eth0) con tamaño maximo de paquete de 1000 bytes (-s 1000) que vengan del host marcos (src host marcos) y que vayan o al host pedrito o al host luisito “(dst host pedrito or dst host luisito)” al puerto 22 (dst port 22)

Espero agrandar pronto este documento con cosas más tecnicas ;)

Un saludo,