Comandos frecuentes tcpdump
Comandos frecuentes tcpdump, tshark y Wireshark
Instalar
--Instalar wireshark en Fedora
yum install wireshark wireshark-gnome
--Para usar wireshark en modo grafico solo teclea el comando
wireshark
o bien teclea
wireshark &
para que la consola quede libre aunque la aplicacion siga corriendo
Captura de tráfico
-- Capturar tráfico completo en archivos de 20 Mb y un máximo de 5000 archivos
tshark -nni eth1 -b filesize:20000 -b files:5000 -w /home/lmoreno/traffic/traffico.pcap
--usar tcpdump y para ver en wireshark, capturar los paquetes completos
tcpdump -nni eth0 -vv -W 100 -G 1800 -C 10 -s0 -w kolibers -K -n not host 189.200.200.200
-vv imprime en la consola el número de paquetes que está capturando
-nn no convertir direcciones a nombres, (direcciones de host, puertos, etc.)
-i interfaz
-W número de archivos creados cuando llega al número señalado va a sobreescribir el 1, creando un "anillo" de archivos, se usa en conjunto con -C
-C el tamaño del archivo que se almacenará en millones de bytes se usa en conjunto con -W
-w rotación en segundos, si se usa en conjunto con -C se le agrega un número al nombre del archivo
-K no verifica checksums
-G rotación en segundos 1800 = 30 minutos
-s0 captura el paquete completo
-not host 189.200.200.200 se excluye el host que usamos para conectarnos remotamente para que no meta ruido en la captura
--Captura trafico de la ip 189.144.95.19 a cualquier IP excepto la 189.144.95.18
tcpdump ip host 189.144.95.19 and not 189.144.95.18
--Un poco mas digerido se puede hacer usando tshark en lugar de tcpdump
tshark ip host 189.144.95.19 and not 189.144.95.18
--Capturar trafico desde o para cierto puerto
tshark "(port 6343)"
con este comando se capturara informacion del puerto 6343 de tcp y udp el puerto udp 6343 por ejemplo es trafico del protocolo sFlow o bien
tshark -n udp port 6343
--Capturar trafico desde o para cierto puerto
tshark "(port 6343)"
con este comando se capturara informacion del puerto 6343 de tcp y udp el puerto udp 6343 por ejemplo es trafico del protocolo sFlow o bien
tshark -n udp port 6343
-- Capturar trafico de forma remota, por ejemplo si te conectaste de forma remota a una PC o servidor digamos via SSH y caputas el trafico tambien capturaras el trafico de tu misma sesion lo cual no te dejara ver el trafico que realmente quieres ver, asi que se debe emplear un filtro para filtrar la ip desde donde te estas conectando ejemplo:
tshark ip host not <ipdelequiporemoto> tcpdump ip host not <ipdelequiporemoto>
Si mi IP es la 200.1.1.1 el comando debera ser:
tshark ip host not 200.1.1.1
o
tcpdump ip host not 200.1.1.1
-- Escuchar trafico de un puerto especifico (sin resolver dns con el parametro -n)
tcpdump dst port 21 -n
--usar tcpdump y para ver en wireshark, capturar los paquetes completos
tcpdump -i <interface> -s 1500 -w <archivo>
--Captura trafico de la ip 189.144.95.19 a cualquier IP excepto la 189.144.95.18
tcpdump ip host 189.144.95.19 and not 189.144.95.18
--Un poco mas digerido se puede hacer usando tshark en lugar de tcpdump
tshark ip host 189.144.95.19 and not 189.144.95.18
--Para usar wireshark en modo grafico solo teclea el comando
wireshark
o bien teclea
wireshark &
para que la consola quede libre aunque la aplicacion siga corriendo
--Capturar trafico desde o para cierto puerto
tshark "(port 6343)"
con este comando se capturara informacion del puerto 6343 de tcp y udp el puerto udp 6343 por ejemplo es trafico del protocolo sFlow o bien
tshark -n udp port 6343
-- Capturar trafico de forma remota, por ejemplo si te conectaste de forma remota a una PC o servidor digamos via SSH y caputas el trafico tambien capturaras el trafico de tu misma sesion lo cual no te dejara ver el trafico que realmente quieres ver, asi que se debe emplear un filtro para filtrar la ip desde donde te estas conectando ejemplo:
tshark ip host not <ipdelequiporemoto> tcpdump ip host not <ipdelequiporemoto>
Si mi IP es la 200.1.1.1 el comando debera ser:
tshark ip host not 200.1.1.1
o
tcpdump ip host not 200.1.1.1
-- Ver el tráfico SNMP de la interfaz eth2
tshark -i eth2 udp port 161
-- Escuchar trafico de un puerto especifico (sin resolver dns con el parametro -n)
tcpdump dst port 21 -n
FIN Captura de trafico
Display filters en Wireshark
-- Filtrar por IP origen
ip.src eq 192.168.16.100
-- Filtrar por IP destino
ip.dst eq 192.168.16.100
-- Filtrar por IP origen e IP destino
ip.src eq 192.168.16.100 AND ip.dst eq 192.168.16.222
-- Filtrar por IP origen O IP destino
ip.src eq 192.168.16.222 or ip.dst eq 192.168.16.222
-- Filtrar por IP destino y que el puerto sea TCP 80 (o cualquiera)
ip.dst eq 192.168.16.100 and tcp.port == 80
-- Filtrar donde el puerto sea 80 UDP o TCP
tcp.port == 80 || udp.port == 80
-- Filtrar donde el puerto sea diferente a 53, no uses != para este filtro
!(tcp.port == 53)
-- Filtrar donde la ip de destino sea diferente de 192.168.16.2
ip.dst != 192.168.16.2
-- Donde la IP 192.168.16.2 aparezca en el origen o destino del paquete
ip.addr == 192.168.16.2
-- Donde la IP sea diferente de 192.168.16.2 en el origen o el destino
!(ip.addr == 192.168.16.2)
-- Para hacer ver un listado de interfaces
tshark -D