En nuestro artículo anterior, hemos visto 20 comandos Netstat para monitorear o administrar la red Linux. Esta es nuestra otra serie de herramientas de rastreo de paquetes llamada tcpdump. Aquí, le mostraremos cómo instalar tcpdump y luego discutiremos y cubriremos algunos comandos útiles con sus ejemplos prácticos.
tcpdump es una herramienta analizadora de paquetes o analizador de paquetes de línea de comandos más potente y ampliamente utilizada que se utiliza para capturar o filtrar paquetes TCP / IP que se recibieron o transfirieron a través de una red en una interfaz específica. Está disponible en la mayoría de los sistemas operativos basados en Linux / Unix. tcpdump también nos da la opción de guardar los paquetes capturados en un archivo para análisis futuros. Guarda el archivo en formato pcap, que se puede ver con el comando tcpdump o una herramienta basada en GUI de código abierto llamada Wireshark (Network Protocol Analyzier) que lee archivos en formato tcpdump pcap.
Cómo instalar tcpdump en Linux
Muchas de las distribuciones de Linux ya vienen con la herramienta tcpdump, si no la tiene en los sistemas, puede instalarla usando el siguiente comando de Yum.
# yum install tcpdump
Una vez que la herramienta tcpdump esté instalada en los sistemas, puede continuar examinando los siguientes comandos con sus ejemplos.
1. Capturar paquetes desde una interfaz específica
La pantalla de comandos se desplazará hacia arriba hasta que interrumpas y cuando ejecutamos el comando tcpdump, capturará desde todas las interfaces, sin embargo, con el interruptor -i solo capturará desde la interfaz deseada.
2. Capturar solo una cantidad N de paquetes
Cuando ejecuta el comando tcpdump capturará todos los paquetes para la interfaz especificada, hasta que presione el botón cancelar. Pero usando la opción -c, puede capturar un número específico de paquetes. El siguiente ejemplo solo capturará 6 paquetes.
3. Imprimir paquetes capturados en ASCII
El siguiente comando tcpdump con la opción -A muestra el paquete en formato ASCII. Es un formato de esquema de codificación de caracteres.
4. Mostrar interfaces disponibles
Para enumerar el número de interfaces disponibles en el sistema, ejecute el siguiente comando con la opción -D.
5. Mostrar paquetes capturados en HEX y ASCII
El siguiente comando con la opción -XX captura los datos de cada paquete, incluido su encabezado de nivel de enlace en formato HEX y ASCII.
6. Capturar y guardar paquetes en un archivo
Como dijimos, tcpdump tiene una función para capturar y guardar el archivo en formato .pcap, para hacer esto simplemente ejecute el comando con la opción -w.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Leer archivo de paquetes capturados
Para leer y analizar el archivo de paquetes capturados 0001.pcap use el comando con la opción -r, como se muestra a continuación.
8. Capturar paquetes de direcciones IP
Para capturar paquetes para una interfaz específica, ejecute el siguiente comando con la opción -n.
9. Capture solo paquetes TCP.
Para capturar paquetes basados en el puerto TCP, ejecute el siguiente comando con la opción tcp.
10. Capturar paquetes desde un puerto específico
Supongamos que desea capturar paquetes para el puerto específico 22, ejecute el siguiente comando especificando el número de puerto 22 como se muestra a continuación.
11. Capturar paquetes desde la IP de origen
Para capturar paquetes desde la IP de origen, digamos que desea capturar paquetes para 192.168.0.2, use el comando de la siguiente manera.
12. Capturar paquetes desde la IP de destino
Para capturar paquetes desde la IP de destino, digamos que desea capturar paquetes para 50.116.66.139, use el comando de la siguiente manera.