tcpdump es un herramienta en línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red.
Parámetros
tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ]
[ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ] [ -y datalinktype ] [ -Z user ]
[ expression ]
-A: Imprime cada paquete en código ASCII
-D: Imprime la lista de interfaces disponibles
-n: No convierte las direcciones de salida
-p: No utliza la interfaz especificada en modo promiscuo
-t: No imprime la hora de captura de cada trama
-x: Imprime cada paquete en hexadecimal
-X: Imprime cada paquete en hexadecimal y código ASCII
-c count: Cierra el programa tras recibir 'count' paquetes
-C file_size
-E algo:secret
-F file
-i interface: Escucha en la interfaz especificada
-M secret
-r file
-s snaplen
-T type
-w file: Guarda la salida en el archivo 'file'
-W filecount
-y datalinktype
-Z user
Ejemplos :
Captura trafico y en vez de hostname , muestra el IP
tcpdump -n proto 17
Capturar tráfico cuya dirección IP de origen sea 192.168.3.1
tcpdump src host 192.168.3.1
Capturar tráfico cuya dirección origen o destino sea 192.168.3.2
tcpdump host 192.168.3.2
Capturar tráfico con destino a la dirección MAC 50:43:A5:AE:69:55
tcpdump ether dst 50:43:A5:AE:69:55
Capturar tráfico con red destino 192.168.3.0
tcpdump dst net 192.168.3.0
Capturar tráfico con red origen 192.168.3.0/28
tcpdump src net 192.168.3.0 mask 255.255.255.240
tcpdump src net 192.168.3.0/28
Capturar tráfico con destino el puerto 23
tcpdump dst port 23
Capturar tráfico con origen o destino el puerto 110
tcpdump port 110
Capturar los paquetes de tipo ICMP
tcpdump ip proto \\icmp
Capturar los paquetes de tipo UDP
tcpdump ip proto \\udp
tcpdump udp
Capturar el tráfico Web
tcpdump tcp and port 80
Capturar las peticiones de DNS
tcpdump udp and dst port 53
Capturar el tráfico al puerto telnet o SSH
tcpdump tcp and \(port 22 or port 23\)
Capturar todo el tráfico excepto el web
tcpdump tcp and not port 80
otra forma:
tcpdump tcp and ! port 80
Capturar todo el trafico a host 10.168.1.100 puerto 80, en full verbose mode, full snap length, sin ponerla en modo promiscuo, sin convertir las direcciones de salida, imprimir en ASCII y volcar todo el dump en un file
tcpdump -vvv -n -s 65535 -A -p -w /tmp/tcpdump host 10.168.1.100 and port 80
Parámetros
tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ]
[ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ] [ -y datalinktype ] [ -Z user ]
[ expression ]
-A: Imprime cada paquete en código ASCII
-D: Imprime la lista de interfaces disponibles
-n: No convierte las direcciones de salida
-p: No utliza la interfaz especificada en modo promiscuo
-t: No imprime la hora de captura de cada trama
-x: Imprime cada paquete en hexadecimal
-X: Imprime cada paquete en hexadecimal y código ASCII
-c count: Cierra el programa tras recibir 'count' paquetes
-C file_size
-E algo:secret
-F file
-i interface: Escucha en la interfaz especificada
-M secret
-r file
-s snaplen
-T type
-w file: Guarda la salida en el archivo 'file'
-W filecount
-y datalinktype
-Z user
Ejemplos :
Captura trafico y en vez de hostname , muestra el IP
tcpdump -n proto 17
Capturar tráfico cuya dirección IP de origen sea 192.168.3.1
tcpdump src host 192.168.3.1
Capturar tráfico cuya dirección origen o destino sea 192.168.3.2
tcpdump host 192.168.3.2
Capturar tráfico con destino a la dirección MAC 50:43:A5:AE:69:55
tcpdump ether dst 50:43:A5:AE:69:55
Capturar tráfico con red destino 192.168.3.0
tcpdump dst net 192.168.3.0
Capturar tráfico con red origen 192.168.3.0/28
tcpdump src net 192.168.3.0 mask 255.255.255.240
tcpdump src net 192.168.3.0/28
Capturar tráfico con destino el puerto 23
tcpdump dst port 23
Capturar tráfico con origen o destino el puerto 110
tcpdump port 110
Capturar los paquetes de tipo ICMP
tcpdump ip proto \\icmp
Capturar los paquetes de tipo UDP
tcpdump ip proto \\udp
tcpdump udp
Capturar el tráfico Web
tcpdump tcp and port 80
Capturar las peticiones de DNS
tcpdump udp and dst port 53
Capturar el tráfico al puerto telnet o SSH
tcpdump tcp and \(port 22 or port 23\)
Capturar todo el tráfico excepto el web
tcpdump tcp and not port 80
otra forma:
tcpdump tcp and ! port 80
Capturar todo el trafico a host 10.168.1.100 puerto 80, en full verbose mode, full snap length, sin ponerla en modo promiscuo, sin convertir las direcciones de salida, imprimir en ASCII y volcar todo el dump en un file
tcpdump -vvv -n -s 65535 -A -p -w /tmp/tcpdump host 10.168.1.100 and port 80