Comandos frecuentes tcpdump

De Luis Moreno Wiki
Revisión del 23:36 19 jul 2020 de Mayordomowiki (discusión | contribuciones) (Página creada con «Comandos frecuentes tcpdump, tshark y Wireshark == Instalar == --Instalar wireshark en Fedora yum install wireshark wireshark-gnome --Para usar wireshark en modo grafi…»)
(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Ir a la navegación Ir a la búsqueda

Comandos frecuentes tcpdump, tshark y Wireshark

Instalar

--Instalar wireshark en Fedora

 yum install wireshark wireshark-gnome

--Para usar wireshark en modo grafico solo teclea el comando

 wireshark

o bien teclea

 wireshark &

para que la consola quede libre aunque la aplicacion siga corriendo

Captura de tráfico

-- Capturar tráfico completo en archivos de 20 Mb y un máximo de 5000 archivos

tshark -nni eth1 -b filesize:20000 -b files:5000 -w /home/lmoreno/traffic/traffico.pcap

--usar tcpdump y para ver en wireshark, capturar los paquetes completos

 tcpdump -i <interface> -s 1500 -w <some-file>

--Captura trafico de la ip 189.144.95.19 a cualquier IP excepto la 189.144.95.18

 tcpdump ip host 189.144.95.19 and not 189.144.95.18

--Un poco mas digerido se puede hacer usando tshark en lugar de tcpdump

 tshark ip host 189.144.95.19 and not 189.144.95.18

--Capturar trafico desde o para cierto puerto

 tshark "(port 6343)"

con este comando se capturara informacion del puerto 6343 de tcp y udp el puerto udp 6343 por ejemplo es trafico del protocolo sFlow o bien

 tshark -n udp port 6343

--Capturar trafico desde o para cierto puerto

 tshark "(port 6343)"

con este comando se capturara informacion del puerto 6343 de tcp y udp el puerto udp 6343 por ejemplo es trafico del protocolo sFlow o bien

 tshark -n udp port 6343

-- Capturar trafico de forma remota, por ejemplo si te conectaste de forma remota a una PC o servidor digamos via SSH y caputas el trafico tambien capturaras el trafico de tu misma sesion lo cual no te dejara ver el trafico que realmente quieres ver, asi que se debe emplear un filtro para filtrar la ip desde donde te estas conectando ejemplo:

 tshark ip host not <ipdelequiporemoto>
 tcpdump ip host not <ipdelequiporemoto>

Si mi IP es la 200.1.1.1 el comando debera ser:

 tshark ip host not 200.1.1.1

o

 tcpdump ip host not 200.1.1.1

-- Escuchar trafico de un puerto especifico (sin resolver dns con el parametro -n)

 tcpdump dst port 21 -n

--usar tcpdump y para ver en wireshark, capturar los paquetes completos

   tcpdump -i <interface> -s 1500 -w <archivo>

--Captura trafico de la ip 189.144.95.19 a cualquier IP excepto la 189.144.95.18

   tcpdump ip host 189.144.95.19 and not 189.144.95.18

--Un poco mas digerido se puede hacer usando tshark en lugar de tcpdump

   tshark ip host 189.144.95.19 and not 189.144.95.18

--Para usar wireshark en modo grafico solo teclea el comando

   wireshark

o bien teclea

   wireshark &

para que la consola quede libre aunque la aplicacion siga corriendo

--Capturar trafico desde o para cierto puerto

   tshark "(port 6343)"

con este comando se capturara informacion del puerto 6343 de tcp y udp el puerto udp 6343 por ejemplo es trafico del protocolo sFlow o bien

   tshark -n udp port 6343

-- Capturar trafico de forma remota, por ejemplo si te conectaste de forma remota a una PC o servidor digamos via SSH y caputas el trafico tambien capturaras el trafico de tu misma sesion lo cual no te dejara ver el trafico que realmente quieres ver, asi que se debe emplear un filtro para filtrar la ip desde donde te estas conectando ejemplo:

   tshark ip host not <ipdelequiporemoto>
   tcpdump ip host not <ipdelequiporemoto>

Si mi IP es la 200.1.1.1 el comando debera ser:

   tshark ip host not 200.1.1.1

o

   tcpdump ip host not 200.1.1.1

-- Ver el tráfico SNMP de la interfaz eth2

   tshark -i eth2 udp port 161

-- Escuchar trafico de un puerto especifico (sin resolver dns con el parametro -n)

   tcpdump dst port 21 -n


FIN Captura de trafico

Display filters en Wireshark

-- Filtrar por IP origen

   ip.src eq 192.168.16.100

-- Filtrar por IP destino

   ip.dst eq 192.168.16.100

-- Filtrar por IP origen e IP destino

   ip.src eq 192.168.16.100 AND ip.dst eq 192.168.16.222

-- Filtrar por IP origen O IP destino

   ip.src eq 192.168.16.222 or ip.dst eq 192.168.16.222

-- Filtrar por IP destino y que el puerto sea TCP 80 (o cualquiera)

   ip.dst eq 192.168.16.100 and tcp.port == 80

-- Filtrar donde el puerto sea 80 UDP o TCP

   tcp.port == 80 || udp.port == 80

-- Filtrar donde el puerto sea diferente a 53, no uses != para este filtro

   !(tcp.port == 53)

-- Filtrar donde la ip de destino sea diferente de 192.168.16.2

   ip.dst != 192.168.16.2

-- Donde la IP 192.168.16.2 aparezca en el origen o destino del paquete

   ip.addr == 192.168.16.2

-- Donde la IP sea diferente de 192.168.16.2 en el origen o el destino

   !(ip.addr == 192.168.16.2)


-- Para hacer ver un listado de interfaces tshark -D