Como usar tcpdump

La capacidad de analizar el tráfico de red es fundamental en el ámbito de la seguridad de la información y la administración de redes. Tcpdump se destaca como una herramienta esencial para lograr esta tarea, proporcionando tanto poder como simplicidad a través de su interfaz de línea de comandos. Desde lo básico hasta técnicas avanzadas, esta guía te enseñará a utilizar Tcpdump para el Análisis de Red y a asegurar tu red de manera efectiva.

Tcpdump destaca como una herramienta valiosa para aquellos que desean adentrarse en redes o seguridad de la información. Su capacidad para interactuar con el tráfico de manera cruda, junto con la precisión que ofrece en la inspección de paquetes, la convierten en la mejor herramienta para aprender TCP/IP. Aunque los analizadores de protocolos como Wireshark son excelentes, para dominar verdaderamente el «packet-fu», es fundamental familiarizarse primero con tcpdump.

¿Para que sirve?

Tcpdump para el Análisis de Red:

  • Descubre las bases del análisis de tráfico con tcpdump.
  • Visualiza el tráfico en tu interfaz con simples comandos.
  • Aísla paquetes HTTPS y limita la cantidad de paquetes.
  • Captura credenciales y monitorea tráfico a dominios sospechosos.
  • Explora técnicas avanzadas y combinaciones de filtros.

Opciones Comunes en Tcpdump:

  • Desactiva la resolución de nombres con -nn.
  • Obtén el paquete completo con -S.
  • Explora la salida en formato hexadecimal con -X.

Técnicas Avanzadas:

  • Combina filtros con AND, OR, EXCEPT.
  • Aísla paquetes por banderas TCP específicas.
  • Visualiza la salida en bruto para un análisis detallado.

Ejemplos de Recetas Diarias:

  • Captura agentes de usuario HTTP y contraseñas en texto claro.
  • Encuentra tráfico con el «Bit Malicioso».
  • Lee y escribe archivos PCAP para un análisis posterior.

Con Tcpdump, el análisis de tráfico de red se convierte en una habilidad fundamental para fortalecer la seguridad de tu red. ¡Aprende, practica y domina el arte del análisis de redes con tcpdump!

Descripción general de tcpdump

Tcpdump se erige como la herramienta principal de análisis de redes a nivel mundial, permitiendo a los profesionales de TI examinar el tráfico de manera detallada y precisa.

Conceptos básicos de aislamiento de tráfico

Empezando con tcpdump

Para comenzar, simplemente observa el tráfico en tu interfaz:

tcpdump -i eth0

Visualización de tráfico en una interfaz

tcpdump -nnSX puerto 443

Visualización de tráfico HTTPS

tcpdump -A -i eth0 'puerto http or puerto ftp or puerto telnet' | grep -i 'usuario\|contraseña\|login'

Limitación de paquetes

Limita la cantidad de paquetes con la opción -c:

tcpdump -c 1 -X icmp

Ejemplos de seguridad de la información

Captura de credenciales

tcpdump -A -i eth0 'puerto http or puerto ftp or puerto telnet' | grep -i 'usuario\|contraseña\|login'

Monitoreo de tráfico a un dominio sospechoso

tcpdump -i eth0 host dominio_sospechoso.com

Tráfico SMB

tcpdump -nn -i eth0 puerto 445

Captura de paquetes TCP RESET-ACK

tcpdump 'tcp[13] = 41'

Filtrado y búsqueda de tráfico

Por IP

tcpdump host 1.1.1.1

Origen/destino

tcpdump src 1.1.1.1
tcpdump dst 1.0.0.1

Filtrado por red

tcpdump net 1.2.3.0/24

Filtrado por puerto

tcpdump puerto 3389

Opciones comunes en tcpdump

Descripción general de las opciones clave

  • -nn: No resuelve nombres de host ni nombres de puerto
  • -S: Obtiene el paquete completo.
  • -X: Obtiene una salida en formato hexadecimal.

Técnicas avanzadas

Combinación de filtros: AND, OR, EXCEPT

tcpdump -nnvvS src 10.5.2.3 and dst puerto 3389

Aislamiento de banderas TCP

tcpdump 'tcp[13] & 4!=0'
tcpdump 'tcp[13] & 2!=0'
tcpdump 'tcp[13]=18'
tcpdump 'tcp[13] & 32!=0'
tcpdump 'tcp[13] & 16!=0'
tcpdump 'tcp[13] & 8!=0'
tcpdump 'tcp[13] & 1!=0'

Visualización de salida en bruto

tcpdump -ttnnvvS

Ejemplos de recetas diarias

Captura de agentes de usuario HTTP

tcpdump -vvAls0 | grep 'User-Agent:'

Identificación de contraseñas en texto claro

tcpdump puerto http or puerto ftp or puerto smtp or puerto imap or puerto pop3 or puerto telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

Búsqueda de tráfico con el «Bit Malicioso»

tcpdump 'ip[6] & 128 != 0'

Lectura/Escritura de archivos PCAP

Escritura a un archivo

tcpdump puerto 80 -w archivo_captura

Lectura desde un archivo

tcpdump -r archivo_captura

Recursos Adicionales

Conclusión

Tcpdump destaca como una herramienta valiosa para aquellos que desean adentrarse en redes o seguridad de la información. Su capacidad para interactuar con el tráfico de manera cruda, junto con la precisión que ofrece en la inspección de paquetes, la convierten en la mejor herramienta para aprender TCP/IP. Aunque los analizadores de protocolos como Wireshark son excelentes, para dominar verdaderamente el «packet-fu», es fundamental familiarizarse primero con tcpdump.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *