Diferencia entre revisiones de «Comandos frecuentes tcpdump»

De Luis Moreno Wiki
Ir a la navegación Ir a la búsqueda
 
(No se muestran 2 ediciones intermedias del mismo usuario)
Línea 19: Línea 19:
  
 
--usar tcpdump y para ver en wireshark, capturar los paquetes completos
 
--usar tcpdump y para ver en wireshark, capturar los paquetes completos
  tcpdump -nni eth0 -vv -W 100 -G 1800 -C 10 -s0 -w kolibers -K -n not host 189.208.238.3
+
  tcpdump -nni eth0 -vv -W 100 -G 1800 -C 10 -s0 -w kolibers -K -n not host 189.200.200.200
  
 
-vv imprime en la consola el número de paquetes que está capturando <br>
 
-vv imprime en la consola el número de paquetes que está capturando <br>
 
-nn no convertir direcciones a nombres, (direcciones de host, puertos, etc.)<br>
 
-nn no convertir direcciones a nombres, (direcciones de host, puertos, etc.)<br>
-I interfaz <br>
+
-i interfaz <br>
 
-W número de archivos creados cuando llega al número señalado va a sobreescribir el 1, creando un "anillo" de archivos, se usa en conjunto con -C<br>
 
-W número de archivos creados cuando llega al número señalado va a sobreescribir el 1, creando un "anillo" de archivos, se usa en conjunto con -C<br>
 
-C el tamaño del archivo que se almacenará en millones de bytes se usa en conjunto con -W <br>
 
-C el tamaño del archivo que se almacenará en millones de bytes se usa en conjunto con -W <br>
Línea 30: Línea 30:
 
-G rotación en segundos 1800 = 30 minutos<br>
 
-G rotación en segundos 1800 = 30 minutos<br>
 
-s0 captura el paquete completo <br>
 
-s0 captura el paquete completo <br>
 +
-kolibers es el prefijo que llevaran los archivos ej. kolibers00 kolibers01
 +
-not host 189.200.200.200 se excluye el host que usamos para conectarnos remotamente para que no meta ruido en la captura
  
 
--Captura trafico de la ip 189.144.95.19 a cualquier IP excepto la 189.144.95.18
 
--Captura trafico de la ip 189.144.95.19 a cualquier IP excepto la 189.144.95.18

Revisión actual del 08:28 4 ago 2021

Comandos frecuentes tcpdump, tshark y Wireshark

Instalar

--Instalar wireshark en Fedora

 yum install wireshark wireshark-gnome

--Para usar wireshark en modo grafico solo teclea el comando

 wireshark

o bien teclea

 wireshark &

para que la consola quede libre aunque la aplicacion siga corriendo

Captura de tráfico

-- Capturar tráfico completo en archivos de 20 Mb y un máximo de 5000 archivos

tshark -nni eth1 -b filesize:20000 -b files:5000 -w /home/lmoreno/traffic/traffico.pcap

--usar tcpdump y para ver en wireshark, capturar los paquetes completos

tcpdump -nni eth0 -vv -W 100 -G 1800 -C 10 -s0 -w kolibers -K -n not host 189.200.200.200

-vv imprime en la consola el número de paquetes que está capturando
-nn no convertir direcciones a nombres, (direcciones de host, puertos, etc.)
-i interfaz
-W número de archivos creados cuando llega al número señalado va a sobreescribir el 1, creando un "anillo" de archivos, se usa en conjunto con -C
-C el tamaño del archivo que se almacenará en millones de bytes se usa en conjunto con -W
-w rotación en segundos, si se usa en conjunto con -C se le agrega un número al nombre del archivo
-K no verifica checksums
-G rotación en segundos 1800 = 30 minutos
-s0 captura el paquete completo
-kolibers es el prefijo que llevaran los archivos ej. kolibers00 kolibers01 -not host 189.200.200.200 se excluye el host que usamos para conectarnos remotamente para que no meta ruido en la captura

--Captura trafico de la ip 189.144.95.19 a cualquier IP excepto la 189.144.95.18

 tcpdump ip host 189.144.95.19 and not 189.144.95.18

--Un poco mas digerido se puede hacer usando tshark en lugar de tcpdump

 tshark ip host 189.144.95.19 and not 189.144.95.18

--Capturar trafico desde o para cierto puerto

 tshark "(port 6343)"

con este comando se capturara informacion del puerto 6343 de tcp y udp el puerto udp 6343 por ejemplo es trafico del protocolo sFlow o bien

 tshark -n udp port 6343

--Capturar trafico desde o para cierto puerto

 tshark "(port 6343)"

con este comando se capturara informacion del puerto 6343 de tcp y udp el puerto udp 6343 por ejemplo es trafico del protocolo sFlow o bien

 tshark -n udp port 6343

-- Capturar trafico de forma remota, por ejemplo si te conectaste de forma remota a una PC o servidor digamos via SSH y caputas el trafico tambien capturaras el trafico de tu misma sesion lo cual no te dejara ver el trafico que realmente quieres ver, asi que se debe emplear un filtro para filtrar la ip desde donde te estas conectando ejemplo:

 tshark ip host not <ipdelequiporemoto>
 tcpdump ip host not <ipdelequiporemoto>

Si mi IP es la 200.1.1.1 el comando debera ser:

 tshark ip host not 200.1.1.1

o

 tcpdump ip host not 200.1.1.1

-- Escuchar trafico de un puerto especifico (sin resolver dns con el parametro -n)

 tcpdump dst port 21 -n

--usar tcpdump y para ver en wireshark, capturar los paquetes completos

   tcpdump -i <interface> -s 1500 -w <archivo>

--Captura trafico de la ip 189.144.95.19 a cualquier IP excepto la 189.144.95.18

   tcpdump ip host 189.144.95.19 and not 189.144.95.18

--Un poco mas digerido se puede hacer usando tshark en lugar de tcpdump

   tshark ip host 189.144.95.19 and not 189.144.95.18

--Para usar wireshark en modo grafico solo teclea el comando

   wireshark

o bien teclea

   wireshark &

para que la consola quede libre aunque la aplicacion siga corriendo

--Capturar trafico desde o para cierto puerto

   tshark "(port 6343)"

con este comando se capturara informacion del puerto 6343 de tcp y udp el puerto udp 6343 por ejemplo es trafico del protocolo sFlow o bien

   tshark -n udp port 6343

-- Capturar trafico de forma remota, por ejemplo si te conectaste de forma remota a una PC o servidor digamos via SSH y caputas el trafico tambien capturaras el trafico de tu misma sesion lo cual no te dejara ver el trafico que realmente quieres ver, asi que se debe emplear un filtro para filtrar la ip desde donde te estas conectando ejemplo:

   tshark ip host not <ipdelequiporemoto>
   tcpdump ip host not <ipdelequiporemoto>

Si mi IP es la 200.1.1.1 el comando debera ser:

   tshark ip host not 200.1.1.1

o

   tcpdump ip host not 200.1.1.1

-- Ver el tráfico SNMP de la interfaz eth2

   tshark -i eth2 udp port 161

-- Escuchar trafico de un puerto especifico (sin resolver dns con el parametro -n)

   tcpdump dst port 21 -n


FIN Captura de trafico

Display filters en Wireshark

-- Filtrar por IP origen

   ip.src eq 192.168.16.100

-- Filtrar por IP destino

   ip.dst eq 192.168.16.100

-- Filtrar por IP origen e IP destino

   ip.src eq 192.168.16.100 AND ip.dst eq 192.168.16.222

-- Filtrar por IP origen O IP destino

   ip.src eq 192.168.16.222 or ip.dst eq 192.168.16.222

-- Filtrar por IP destino y que el puerto sea TCP 80 (o cualquiera)

   ip.dst eq 192.168.16.100 and tcp.port == 80

-- Filtrar donde el puerto sea 80 UDP o TCP

   tcp.port == 80 || udp.port == 80

-- Filtrar donde el puerto sea diferente a 53, no uses != para este filtro

   !(tcp.port == 53)

-- Filtrar donde la ip de destino sea diferente de 192.168.16.2

   ip.dst != 192.168.16.2

-- Donde la IP 192.168.16.2 aparezca en el origen o destino del paquete

   ip.addr == 192.168.16.2

-- Donde la IP sea diferente de 192.168.16.2 en el origen o el destino

   !(ip.addr == 192.168.16.2)


-- Para hacer ver un listado de interfaces

tshark -D