Que es tcpdump, instalación y uso

La herramienta tcpdump permite realizar un análisis del tráfico que circula a través de nuestra red. Nos permite capturar en tiempo real los paquetes que circulen por ella.

Tcpdump está disponible para el sistema opeativo UNIX aunque también hay una adaptación para windows llamado WinDump.

Es necesario tener privilegios de root en la máquina para poder hacer uso de esta herramienta.

Como instalar tcpdump, muy sencillo:

#En Debian, Ubuntu, Knoppix...
apt-get install tcpdump

#En Fedora, CentOS, RedHat, Mandriva...
yum install tcpdump

Utilización:

#Para capturar el tráfico de eth0
tcpdump -i eth0

#Capturar el tráfico puerto 80
tcpdump port 80

#Capturar 1000 paquetes
tcpdump -c 1000

#Capturar tráfico con origen en la IP
tcpdump src host 192.168.3.1

#Capturar tráfico con destino a la IP
tcpdump dst net 192.168.3.0

#Capturar trafico con origen y destino
tcpdump host 192.168.3.2

Parámetros disponibles:

tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ]
[ -E algo:secret ] [ -F file ] [ -i interface ] [ -M secret ]
[ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ] [ -y datalinktype ] [ -Z user ]
[ expression ]

• -A: Imprime cada paquete en código ASCII
• -D: Imprime la lista de interfaces disponibles
• -n: No convierte las direcciones de salida
• -p: No utliza la interfaz especificada en modo promiscuo
• -t: No imprime la hora de captura de cada trama
• -x: Imprime cada paquete en hexadecimal
• -X: Imprime cada paquete en hexadecimal y código ASCII
• -c count: Cierra el programa tras recibir ‘count’ paquetes
• -C file_size
• -E algo:secret
• -F file
• -i interface: Escucha en la interfaz especificada
• -M secret
• -r file
• -s snaplen
• -T type
• -w file: Guarda la salida en el archivo ‘file’
• -W filecount
• -y datalinktype
• -Z user