En muchas ocasiones los administradores de sistemas se ven en el caso de la necesidad de analizar los paquetes de red para ayudar a solucionar los problemas que afectan a ocultar sus sistemas, TcpDump es la herramienta correcta para el trabajo de analizar el tráfico de red.
TcpDump es una herramienta para linea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos por la red a la cual el ordenador está conectado.
TcpDump funciona en la mayoría de los sistemas operativos UNIX y existe una adaptación para Windows llamada WinDump.
Principalmente TcpDump se utiliza:
- Para depurar aplicaciones que utilizan la red para comunicarse.
- Para depurar la red misma.
- Para capturar y leer datos enviados por otros usuarios u ordenadores.
Algunas utilizaciones y parámetros a utilizar:
-Para capturar el tráfico de eth0 –> tcpdump -i eth0
-Capturar tráfico con origen en la IP –> tcpdump src host 192.168.1.1
-Capturar tráfico con destinp en la IP –> tcpdump dst host 192.168.2.1
-Capturar tráfico con origen y destino –> tcpdump host 192.168.3.1
- -A: Imprime cada paquete en código ASCII
- -D: Imprime la lista de interfaces disponibles
- -n: No convierte las direcciones de salida
- -p: No utliza la interfaz especificada en modo promiscuo
- -t: No imprime la hora de captura de cada trama
- -x: Imprime cada paquete en hexadecimal
- -X: Imprime cada paquete en hexadecimal y código ASCII
- -c count: Cierra el programa tras recibir ‘count’ paquetes
- etc
La instalación de TcpDump es muy sencilla –> apt-get install tcpdump