Pequeño tutorial de TCPDump - Uso basico
Tutorial creado por Icewinddale. Extraido de: http://www.mononeurona.org/index.php?idp=434
27 de Octubre de 2005
Administración de redes, Administración de sistemas
2 - Uso basico
Lo primero que debemos averiguar cuando estamos usando el tcpdump, es las interfaces que queremos escuchar. Por defecto cuando se ejecuta sin parámetros, en los Linux se pone a escuchar en la eth0, mientras que en Windows hay que especificarla la interfaz donde quiere escuchar.
Para averiguar la interfaces en cualquier Unix recurrimos al comando ifconfig -a el cual nos da una lista de las interfaces que tenemos, así como sus parametros de configuración.
[terron@ux02 ~]$ /sbin/ifconfig -a
eth0 Link encap:Ethernet HWaddr addr
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:646760 errors:0 dropped:0 overruns:0 frame:0
TX packets:449673 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:5 Base address:0x2c20
eth1 Link encap:Ethernet HWaddr addr
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1321583 errors:0 dropped:0 overruns:0 frame:0
TX packets:1778135 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:9 Base address:0x3000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:39747 errors:0 dropped:0 overruns:0 frame:0
TX packets:39747 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
[terron@ux02 ~]$
(en el ejemplo anterior estan borradas las direcciones ip) En el caso de Windows, podemos recurrir al propio windump, para que nos liste las interfaces que tenemos. Para ello ejecutamos un Windump -D y nos dara la información que buscamos:
C:\Documents and Settings\terron\download>windump -D
1.\Device\Packet_NdisWanIp (NdisWan Adapter)
2.\Device\Packet_{8435447C-6020-481F-A720-44D940909166} (Intel 8255x-based Integ
rated Fast Ethernet)
Usando los datos del ejemplo anterior, en el Linux si queremos escuchar en la interfaz eth0, usaremos tcpdump -i eth0, mientras que en el caso de Windows si queremos escuchar en la ethernet usaremos windump -i \Device\Packet_{8435447C-6020-481F-A720-44D940909166}.
Cuando estamos leyendo la red, puede que no nos interese que el tcpdump intente resolver los nombres de las maquinas (pueden que no estin dadas de alta en el DNS, por motivos de seguridad, etc), para ello disponemos de la opción -n.
Para establecer la longitud de los datos que captura tcpdump usamos -s len, donde len es la longitud que nos interesa. Por defecto el tcpdump sólo captura los primeros 68 bytes, lo cual es útil si lo único que se quiere son las cabeceras IP, TCP o UDP, pero que en caso de estar esnifando protocolos como el NFS truncan los datos. En ese caso podemos ajustar la longitud de la captura a la MTU del medio que estamos usando con esta opción. Por ejemplo para capturar toda la trama ethernet podemos usar -s 1500.
En función de la cantidad de información que queramos a la hora de que el tcpdump nos interprete, podemos usar -v,-vv,-vvv, aumentando el grado de información con cada una de las opciones.
Si queremos imprimir el contenido del paquete, podemos usar la opción -x. Si ademas queremos que nos imprima en ASCII el contenido de los paquetes podemos usar -X. La longitud que imprime viene determinada por la opción -s o los 68 bytes que usa captura por defecto.
Podemos trabajar offline con el tcpdump. Si queremos grabar nuestra captura para posteriormente leerla y analizarla usamos la opción -w file donde file es el nombre del fichero donde queremos grabar la captura de datos. Posteriormente podemos leer y analizar offline con -r file. Además este tipo de ficheros de captura lo pueden leer otros analizadores como por ejemplo Ethereal∞.
Para averiguar la interfaces en cualquier Unix recurrimos al comando ifconfig -a el cual nos da una lista de las interfaces que tenemos, así como sus parametros de configuración.
[terron@ux02 ~]$ /sbin/ifconfig -a
eth0 Link encap:Ethernet HWaddr addr
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:646760 errors:0 dropped:0 overruns:0 frame:0
TX packets:449673 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:5 Base address:0x2c20
eth1 Link encap:Ethernet HWaddr addr
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1321583 errors:0 dropped:0 overruns:0 frame:0
TX packets:1778135 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
Interrupt:9 Base address:0x3000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:3924 Metric:1
RX packets:39747 errors:0 dropped:0 overruns:0 frame:0
TX packets:39747 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
[terron@ux02 ~]$
(en el ejemplo anterior estan borradas las direcciones ip) En el caso de Windows, podemos recurrir al propio windump, para que nos liste las interfaces que tenemos. Para ello ejecutamos un Windump -D y nos dara la información que buscamos:
C:\Documents and Settings\terron\download>windump -D
1.\Device\Packet_NdisWanIp (NdisWan Adapter)
2.\Device\Packet_{8435447C-6020-481F-A720-44D940909166} (Intel 8255x-based Integ
rated Fast Ethernet)
Usando los datos del ejemplo anterior, en el Linux si queremos escuchar en la interfaz eth0, usaremos tcpdump -i eth0, mientras que en el caso de Windows si queremos escuchar en la ethernet usaremos windump -i \Device\Packet_{8435447C-6020-481F-A720-44D940909166}.
Cuando estamos leyendo la red, puede que no nos interese que el tcpdump intente resolver los nombres de las maquinas (pueden que no estin dadas de alta en el DNS, por motivos de seguridad, etc), para ello disponemos de la opción -n.
Para establecer la longitud de los datos que captura tcpdump usamos -s len, donde len es la longitud que nos interesa. Por defecto el tcpdump sólo captura los primeros 68 bytes, lo cual es útil si lo único que se quiere son las cabeceras IP, TCP o UDP, pero que en caso de estar esnifando protocolos como el NFS truncan los datos. En ese caso podemos ajustar la longitud de la captura a la MTU del medio que estamos usando con esta opción. Por ejemplo para capturar toda la trama ethernet podemos usar -s 1500.
En función de la cantidad de información que queramos a la hora de que el tcpdump nos interprete, podemos usar -v,-vv,-vvv, aumentando el grado de información con cada una de las opciones.
Si queremos imprimir el contenido del paquete, podemos usar la opción -x. Si ademas queremos que nos imprima en ASCII el contenido de los paquetes podemos usar -X. La longitud que imprime viene determinada por la opción -s o los 68 bytes que usa captura por defecto.
Podemos trabajar offline con el tcpdump. Si queremos grabar nuestra captura para posteriormente leerla y analizarla usamos la opción -w file donde file es el nombre del fichero donde queremos grabar la captura de datos. Posteriormente podemos leer y analizar offline con -r file. Además este tipo de ficheros de captura lo pueden leer otros analizadores como por ejemplo Ethereal∞.
Valora este capítulo:
Autor y licencia de 'Pequeño tutorial de TCPDump - Uso basico'
|
Opiniona sobre 'Pequeño tutorial de TCPDump - Uso basico' (0)
Tu nombre debe tener tres caracteres como mínimo.
Es necesario que te des de alta con una cuenta de correo válida.
Es necesario que te des de alta con una cuenta de correo válida.
El contenido del título de tu opinión debe tener tres caracteres como mínimo.
Es obligatorio que selecciones una valoración del recurso.
El contenido del comentario de tu opinión debe tener tres caracteres como mínimo.
Opina sobre este tutorial |
Wikis relacionados con 'Pequeño tutorial de TCPDump - Uso basico'
Breve tutorial introductorio al uso de CVS, con especial énfasis en el uso de la...
Más »
Amplio tutorial de Java para empezar a trabajar y ampliar conocimientos de este lenguaje.
Este tutorial presenta los conceptos básicos de líneas de transmisión (Transmission lines), así como una...
Más »
En este artículo sobre foros PHP aprenderás lo fundamental para moverte con soltura por uno...
Más »
El presupuesto financiero, es el estudio mediante el cual se identifican los diferentes costos y...
Más »
