Phenquestions
El "tcpdump" es un analizador de paquetes y se utiliza para diagnosticar y analizar problemas de red. Captura el tráfico de red que pasa por su dispositivo y lo revisa. La herramienta "tcpdump" es una herramienta poderosa para solucionar problemas de red. Viene con muchas opciones, lo que la convierte en una utilidad de línea de comandos versátil para solucionar problemas de red.
Esta publicación es una guía detallada sobre la utilidad "tcpdump" que incluye su instalación, características comunes y uso con diferentes opciones. Comencemos con la instalación:
Cómo instalar "tcpdump":
En muchas distribuciones, el "tcpdump" sale de la caja, y para verificarlo, use:
$ que tcpdump
Si no se encuentra en su distribución, instálelo usando:
$ sudo apt install tcpdumpEl comando anterior se utilizará para distribuciones basadas en Debian como Ubuntu y LinuxMint. Para "Redhat" y "CentOS", utilice:
$ sudo dnf instalar tcpdumpCómo capturar paquetes con tcpdump:
Se pueden usar varias interfaces para capturar paquetes. Para obtener una lista de interfaces, use:
$ sudo tcpdump -D
O simplemente use "any" con el comando "tcpdump" para obtener paquetes de la interfaz activa. Para comenzar a capturar paquetes, utilice:
$ sudo tcpdump --interfaz cualquiera
El comando anterior está rastreando paquetes de todas las interfaces activas. Los paquetes se capturarán continuamente hasta que el usuario lo interrumpa (ctrl-c).
También podemos limitar la cantidad de paquetes que se capturarán usando la bandera "-c" que significa el "recuento.”Para capturar 3 paquetes, use:
$ sudo tcpdump -i cualquiera -c3
El comando anterior es útil para filtrar un paquete específico. Además, la resolución de problemas de conectividad requiere solo la captura de unos pocos paquetes iniciales.
La "tcpdumpEl comando ”captura paquetes con IP y nombres de puerto de forma predeterminada, pero para limpiar el desorden y hacer que la salida sea más fácil de entender; los nombres se pueden deshabilitar usando "-norte" y "-nn”Para la opción de puerto:
$ sudo tcpdump -i cualquier -c3 -nn
Como se muestra en el resultado anterior, los nombres de IP y puerto se han eliminado.
Cómo comprender la información sobre un paquete capturado:
Para conocer los diversos campos de un paquete capturado, tomemos un ejemplo de un paquete TCP:
Un paquete puede tener varios campos, pero los generales se muestran arriba. El primer campo, "09:48:18.960683,"Representa un momento en el que se recibe el paquete. Luego vienen las direcciones IP; la primera IP [216.58.209.130] es la IP de origen y la segunda IP [10.0.2.15.55812] es la IP de destino. Entonces obtendrás la bandera [PAG.]; a continuación se proporciona una lista de banderas típicas:
| Bandera | Tipo | Descripción |
| "." | ACK | Significa reconocimiento |
| S | SYN | Marcar para iniciar una conexión |
| F | ALETA | Marcar para una conexión cerrada |
| PAG | EMPUJAR | Indica el envío de datos del remitente |
| R | RST | Reajuste de conexion |
Y luego viene el número de secuencia "seq 185: 255". El cliente y el servidor usan el número de secuencia de 32 bits para mantener y monitorear los datos.
La "ack”Es una bandera; si es 1, eso significa que el número de acuse de recibo es válido y el receptor espera el siguiente byte.
El número de ventana indica el tamaño del búfer. "ganar 65535"Significa la cantidad de datos que se pueden almacenar en búfer.
Y al final llega la longitud [70] del paquete en bytes que es una diferencia de "185: 255".
Filtrado de paquetes para solucionar los problemas de la red:
La herramienta "tcpdump" captura cientos de paquetes, y la mayoría de ellos son de menor importancia, lo que hace que sea mucho más complejo obtener la información deseada para la resolución de problemas. En este caso, el filtrado jugará su papel. Por ejemplo, al solucionar problemas si no está interesado en un tipo de tráfico en particular, puede filtrarlo usando "tcpdump", que viene con paquetes de filtrado de acuerdo con las direcciones IP, puertos y protocolos.
Cómo capturar un paquete usando el nombre de host con el comando tcpdump:
Para obtener el paquete solo de un host específico, use:
$ sudo tcpdump -i cualquier -c4 host 10.0.2.15
Si solo desea obtener tráfico en un sentido, utilice "src" y "dst"Opciones en lugar de"anfitrión."
Cómo capturar un paquete usando el número de puerto con el comando tcpdump:
Para filtrar paquetes con el número de puerto, use:
$ sudo tcpdump -i cualquier -c3 -nn puerto 443
El "443" es el número de puerto HTTPS.
Cómo capturar un paquete usando el protocolo con el comando tcpdump:
Con el comando "tcpdump", puede filtrar paquetes de acuerdo con cualquier protocolo como udp, icmp, arp, etc. Simplemente escriba el nombre del protocolo:
$ sudo tcpdump -i cualquier -c6 udp
Los comandos anteriores solo capturarán paquetes que pertenezcan al protocolo "udp".
Cómo combinar opciones de filtrado usando operadores lógicos:
Se pueden combinar diferentes opciones de filtrado utilizando operadores lógicos como "y / o":
$ sudo tcpdump -i cualquier -c6 -nn host 10.0.2.15 y puerto 443
Cómo almacenar los datos capturados:
Los datos capturados se pueden guardar en un archivo para monitorearlos más tarde, y para eso se usará la opción "-w", y "w" significa "escribir":
$ sudo tcpdump -i cualquier -c5 -w packetData.pcap
La extensión del archivo sería ".pcap ”, que significa“ captura de paquetes.”Una vez que se realiza la captura, el archivo se guardará en su unidad local. Este archivo no se puede abrir ni leer con ningún programa de edición de texto. Para leerlo, utilice el "-r"Bandera con" tcpdump ":
$ tcpdump -r packetData.pcap
Conclusión:
El "tcpdump" es una herramienta valiosa y flexible para capturar y analizar el tráfico de la red para solucionar problemas de la red. El punto de atención de esta guía es aprender el uso básico y avanzado de la utilidad de línea de comandos "tcpdump". Pero si le resulta difícil, existe un programa basado en GUI menos complejo llamado "Wireshark", que hace prácticamente el mismo trabajo pero con varias características adicionales.
