¿Qué es TCPDUMP?

TCPDUMP o TCP DUMP es una herramienta open source enfocada en el análisis de la red, que se utiliza a través de la línea de comandos. Es uno de los sniffers más populares, TCPDUMP se ejecuta en la mayoría de distribuciones de Linux; para windows, puede utilizar la versión WindDump la cual puede encontrar en https://www.winpcap.org/windump/

Al instalar esta herramienta en su host, usted puede capturar en tiempo real los paquetes enviados y recibidos; además de capturar información muy general, tcpdump tiene varios filtros que le permitirán capturar información específica relacionada con los paquetes que circulan a través de las interfaces del host.

¿Para qué sirve TCPDUMP? 

¿Cuál es la utilidad de TCPDUMP?

• Útil para quienes gestionan redes y necesitan ver el tráfico para identificar problemas.

• Como apoyo para troubleshooting (solución de problemas) 

• Es muy útil para los pentesters y ethical hackers durante cualquier tipo de escaneo, ya que es importante observar de forma detallada algunos paquetes generados por las herramientas de scanning durante una prueba.

• En ocasiones la captura de un paquete y la información que se puede obtener de la misma, brinda más herramientas para el análisis, que la salida dada por una herramienta de scanning de puertos, etc.

¿Existen alternativas?

 La alternativa más popular es Wireshark; con Wireshark se tiene el acceso a una interfaz gráfica de usuario.

¿Tengo TCPDUMP instalado en mi distribución de Linux?

 Para la distribución Debian utilice el siguiente comando:

#apt list –installed | grep tcpdump

o

#dpkg -l tcpdump

Para la distribución CentOS utilice el siguiente comando:

 #rpm -qa | grep tcpdump

 ¿Cómo instalar TCPDUMP en la distribución Debian?

Para realizar la instalación de tcpdump en la distribución Debian y en algunas basadas en Debian, utilice el siguiente comando (requiere usuario con privilegios de administrador)

#apt install tcpdump

¿Cómo instalar TCPDUMP en la distribución CentOS?

Para realizar la instalación de tcpdump en la distribución CentOS y en algunas distribuciones basadas en Red Hat Enterprise Linux (RHEL), utilice el siguiente comando (requiere usuario con privilegios de administrador)

#yum install tcpdump

¿Cómo utilizar TCPDUMP?

Una vez instalada la aplicación, usted podrá hacer uso de la ayuda que ofrece la página del manual de tcpdump

$man tcpdump

#man tcpdump

Sintaxis de la utilización de tcpdump

$sudo tcpdump opciones expresiones  o #tcpdump opciones expresiones

$sudo tcpdump -i ens33 -vnnX tcp or udp

#tcpdump -i ens33 -vnnX tcp or udp

Algunas opciones útiles de TCPDUMP

-D ————- Lista las interfaces disponibles para tcpdump

$ sudo tcpdump -D

 -i [interfaz]   —————————- Le dice a tcpdump que capture en la interfaz especificada

$ sudo tcpdump -i ens33

-n   ————————— Muestra número en lugar de nombres de máquinas

-nn ————————— Muestra números de puertos e IP

-v  ————————— Aumenta la verbosidad, brinda mayor salida de información

-w  ————————— Escribe la salida a un archivo

-x —————————— Imprime la salida de paquetes en forma hexadecimal

-X —————————— Imprime la salida de los paquetes en forma hexadecimal y ACSII

Ejemplos de la utilización de tcpdump

Capturar tráfico proveniente u originado en la ip 8.8.8.8

Capturar tráfico proveniente u originado en el puerto 53

Capturar tráfico proveniente del puerto 53 y almacenarlo en el archivo “prueba”

Capturar 2 paquetes del tráfico relacionado con el protocolo icmp e imprima su salida en formato hexadecimal y ASCII

Capturar tráfico que no proviene del puerto 443

Capturar un paquete TCP con bandera SYN