Tcpdump: Qué es y cómo usarlo para capturar tráfico de red en tu servidor (2022)

Si necesitas hacer un diagnóstico de todo el tráfico de red de tu conexión, ya sea local o de cara a Internet, es fundamental utilizar programas para capturar todo el tráfico y analizarlo posteriormente. Uno de los programas más populares es Wireshark, este programa es multiplataforma, compatible con Windows, Linux, macOS y muchos otros, sin embargo, necesitamos una interfaz gráfica de usuario para hacerlo funcionar. Hoy os vamos a enseñar a utilizar tcpdump, la mejor herramienta para capturar todo el tráfico a través de la línea de comandos en un terminal.

Qué es tcpdump y para qué sirve

tcpdump es una herramienta completamente gratuita que nos permitirá capturar todo el tráfico de red de una o varias interfaces, ya sean Ethernet, WiFi, interfaces PPPoE que hayamos levantado e incluso también interfaces virtuales como las que creamos al usar redes privadas virtuales. Este programa no solamente se encarga de capturar todo el tráfico, sino que también podemos analizarlo en tiempo real a medida que lo va capturando, todo ello a través de la línea de comandos.

tcpdump es compatible con todos los sistemas operativos basados en Unix, como Linux, BSD, macOS y muchos otros. Por supuesto, este programa hace uso de la biblioteca libpcap para capturar todos los paquetes que circulan a través de una interfaz en cuestión, ya sea física o virtual. Este programa para poder ejecutarlo en el sistema, es necesario tener permisos de superusuario, ya que estamos capturando y viendo tráfico de red que pudiese ser «sensible», por lo tanto, es necesario contar con privilegios de administrador.

Lo mejor que tiene tcpdump son los filtros, vamos a poder filtrar todo el tráfico para ver solamente lo que a nosotros nos interese. Los filtros son expresiones que van detrás de las opciones de captura, y nos permite mostrar solamente lo que estamos buscando y no todo. Si no ponemos ningún filtro, veremos todo el tráfico de red del adaptador de red seleccionado.

Los principales usos que le podemos dar a una herramienta como tcpdump son los siguientes:

(Video) Aprende Cómo Usar WIRESHARK para Capturar Paquetes y Tráfico de RED en Kali Linux 2022.2 👨‍💻🦈

  • Capturar toda la información y almacenarla para su posterior estudio.
  • Depurar aplicaciones en tiempo real que usan la red para comunicarse.
  • Comprobar que el tráfico de red es el esperado teniendo en cuenta su uso.
  • Capturar y leer los datos de otros equipos de la red, aunque en este caso tendríamos que hacer técnicas como el ARP Spoofing o similar si estamos en un entorno conmutado y no estamos usando tcpdump en el router.

Una vez que hemos visto qué es tcpdump y para qué nos puede servir, vamos a instalarlo en nuestro sistema operativo Linux para mostraros su funcionamiento.

Instalación en Debian y principales opciones

Este programa es muy utilizado en todos los sistemas operativos basados en Linux, por lo tanto, vamos a poder instalarlo directamente desde los repositorios oficiales de cada distribución. En el caso de Debian, tenemos que poner la siguiente orden en la terminal:

sudo apt install tcpdump

Nos saldrá algo así:

Tcpdump: Qué es y cómo usarlo para capturar tráfico de red en tu servidor (1)

Una vez que lo tengamos instalado, podemos ejecutar la siguiente orden en la terminal para que nos muestre la ayuda:

tcpdump -h

Tcpdump: Qué es y cómo usarlo para capturar tráfico de red en tu servidor (2)

En el caso de que necesites mucha más información sobre la herramienta, ver ejemplos de utilización y toda la documentación, entonces podrás acceder a las páginas man de la siguiente forma:

(Video) Webinar Gratuito: Capturar Tráfico de Red con Wireshark

man tcpdump

En estas páginas man podrás ver una extensa descripción de la herramienta, qué sintaxis debemos utilizar, qué opciones tenemos disponibles para capturar todos los datos y también para filtrar la información que nosotros queramos.

Ejemplos de uso

Este programa tiene una gran cantidad de opciones para capturar los datos y también para visualizarlos, además, tenemos la posibilidad de añadir una gran cantidad de filtros avanzados para que nos muestre solamente lo que queramos. A continuación, os vamos a explicar algunos comandos básicos para que captures solamente lo que te interese.

Uso básico

El siguiente comando nos permite arrancar el programa, si no especificamos ninguna interfaz de red, la propia herramienta elegirá una de las que estén disponibles en el sistema operativo.

tcpdump

Si queremos especificar una interfaz de red, debes poner la siguiente orden:

tcpdump -i NOMBRE_INTERFAZ

Si queremos especificar todas las interfaces de red, para capturar todo el tráfico de todas ellas a la vez, entonces tienes que poner la siguiente orden:

tcpdump -i any

Cuando capturamos tráfico de red con tcpdump, es posible que no nos interese resolver los nombres de los hosts, sino que directamente nos muestre las direcciones IP. Para hacer esto, podemos poner:

tcpdump -n

Si quieres capturar solamente un cierto número de paquetes, entonces deberás poner la siguiente orden:

(Video) Nmap desde cero. Lección #5. Analisís de trafico de red con tcpdump

tcpdump -c NUMERO_PAQUETES

Si queremos aumentar la información que nos muestra a través de la línea de comandos, debemos aumentar el «verbose» de la siguiente forma:

tcpdump -i NOMBRE_INTERFAZ -v

Si queremos aumentarlo más, añadiremos más «v» detrás, de la siguiente forma:

tcpdump -i NOMBRE_INTERFAZ -vvv

Este último comando nos permite ver el máximo verbose posible.

Si queremos guardar la captura en un archivo, para posteriormente abrirlo con un analizador de paquetes como WireShark, o para su posterior análisis, debemos poner la siguiente orden:

tcpdump -i NOMBRE_INTERFAZ -w NOMBRE_ARCHIVO

Por supuesto, si queremos guardar todo con el máximo verbose, pondremos:

tcpdump -i NOMBRE_INTERFAZ -w NOMBRE_ARCHIVO -vvv

Capturando tráfico por IP o subred

tcpdump nos permite filtrar por direcciones IP e incluso subredes, para ello, podemos poner la siguiente orden:

tcpdump -i NOMBRE_INTERFAZ host IP

Por ejemplo, podríamos ver el tráfico de la IP de localhost:

(Video) Capturar paquetes de tu red con TCPDump en Ubuntu

tcpdump -i NOMBRE_INTERFAZ host 127.0.0.1

También podemos filtrar por subredes de la siguiente forma:

tcpdump -i NOMBRE_INTERFAZ net SUBRED/X

A continuación, puedes ver un ejemplo de subred:

tcpdump -i NOMBRE_INTERFAZ net 192.168.1.0/24

También podríamos filtrar por origen y por destino, a continuación, puedes ver dos ejemplos:

tcpdump -i NOMBRE_INTERFAZ src IP tcpdump -i NOMBRE_INTERFAZ dst IP

Con estas opciones, podremos filtrar fácilmente el tráfico que solamente queramos capturar y mostrar.

Capturando tráfico por puerto y rangos

En el caso de que quieras filtrar por puertos, ya sea un puerto únicamente o un rango de puertos, puedes hacerlo de la siguiente forma:

tcpdump -i NOMBRE_INTERFAZ port NUMERO_PUERTO tcpdump -i NOMBRE_INTERFAZ portrange PUERTOINICIO PUERTOFIN

Todos estos comandos también se pueden añadir a tcpdump para filtrar por IP y puertos, e incluso también para guardar en un archivo pcap toda la captura de tráfico. De esta forma, podemos ir concatenando las diferentes opciones disponibles con los filtros que hayamos definido.

Conclusiones

tcpdump es la herramienta por excelencia para capturar paquetes de la red local con las interfaces que nosotros queramos, gracias a este programa, vamos a poder visualizar todo el tráfico de red a bajo nivel a través de la consola, y también podemos guardar las capturas de tráfico en nuestro disco duro o SSD siempre que queramos. Gracias a la gran cantidad de opciones de configuración y filtros, vamos a poder capturar solamente lo que nos interese, para su posterior análisis con programas como Wireshark o directamente a bajo nivel con tshark o similares.

(Video) CAPTURA Y ANÁLISIS DE TRAFICO DE RED

Si tienes problemas a nivel de red en tu red local o servidor, tcpdump te ayudará a saber qué tráfico está pasando por toda la red o el servidor en cuestión, y posteriormente estudiar en detalle qué está ocurriendo y cómo lo podemos solucionar. Capturar tráfico de red es el primer paso para poder arreglar un problema a nivel de red, y en este caso, tcpdump será tu mejor aliado para solucionar todos los problemas.

FAQs

¿Cómo se usa el tcpdump? ›

Tcpdump es una herramienta para línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos por la red a la cual el ordenador está conectado.

¿Qué otra herramienta podría capturar tráfico de red? ›

TCPDUMP [1] es una herramienta para captura del tráfico que circula por la red en tiempo real, esto incluye los paquetes transmitidos y recibidos en una determinada interfaz de red determinada.

¿Cómo leer el tráfico de red? ›

Wireshark nos permite capturar el tráfico de cualquier tarjeta de red, ya sea física o virtual, simplemente tenemos que tener claro cuál es nuestra tarjeta de red que actualmente está en uso, y de la cual queremos capturar tráfico de red.

¿Cómo hacer capturas de Wireshark? ›

¿Cómo capturar tráfico en Linux? ›

tcpdump es la herramienta por excelencia para capturar paquetes de la red local con las interfaces que nosotros queramos, gracias a este programa, vamos a poder visualizar todo el tráfico de red a bajo nivel a través de la consola, y también podemos guardar las capturas de tráfico en nuestro disco duro o SSD siempre ...

¿Qué hace Wireshark de manera diferente a tcpdump? ›

Wireshark, emplea la misma librería de captura de paquetes (libpcap) que otros sniffers conocidos, como tcpdump, aunque es capaz de leer muchos otros tipos de formato de captura. Además es un software de libre distribución que puede correr en distintas plataformas (Windows, Linux/Unix, y Mac).

¿Qué es el tráfico de la red? ›

El tráfico de red o tráfico de datos es la cantidad de datos que se mueven a través de una red en un momento dado. ​ Los datos de red en las redes informáticas se encapsulan principalmente en paquetes de red, que proporcionan la carga en la red.

¿Qué es un Sniffer y cómo se utiliza? ›

Un sniffer es una herramienta de software o hardware que permite al usuario supervisar su tráfico en Internet en tiempo real y capturar todo el tráfico de datos que entran y salen de su equipo.

¿Qué es y para qué sirve Wireshark? ›

Wireshark es un analizador de paquetes de red, una utilidad que captura todo tipo de información que pasa a través de una conexión. Wireshark es gratis y de código abierto, y se puede usar para diagnosticar problemas de red, efectuar auditorías de seguridad y aprender más sobre redes informáticas.

¿Qué es una captura de paquetes? ›

LA captura de paquete hace referencia a la intercepción de un paquete de datos mientras se desplaza por una red. La captura de paquete (en oposición a utilizar un Servidor proxy externo) es una opción al establecer la Modalidad de registro para los transportes siguientes: TCP.

¿Qué tipo de paquetes captura Wireshark? ›

Wireshark es un analizador de paquetes de red. Su propósito es capturar paquetes dentro de una red y ofrecer información detallada de los mismos. Haciendo un símil, sus responsables comparan Wireshark con un voltímetro en el caso de un electricista.

¿Qué es un filtro de captura? ›

Los filtros de captura (Capture Filter) son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro. Los filtros de visualización (Display Filer) establecen un criterio de filtro sobre las paquetes capturados y que estamos visualizando en la pantalla principal de Wireshark.

¿Cómo capturar y analizar datos ICMP locales en Wireshark? ›

Escriba icmp en el cuadro Filtro que se encuentra en la parte superior de Wireshark y presione Intro o haga clic en el botón Apply (Aplicar) para ver solamente PDU de ICMP (ping). f. Este filtro hace que desaparezcan todos los datos de la ventana superior, pero se sigue capturando el tráfico en la interfaz.

¿Qué significa el color negro en Wireshark? ›

Esquema de color en líneas

Morada claro: tráfico TCP. Azul claro: tráfico UDP, DNS. Negro: segmentos TCP problemáticos.

¿Cómo ejecutar Wireshark en Ubuntu? ›

En Ubuntu, la mejor manera de usar Wireshark es habilitar un PPA de terceros. La razón es que el PPA ofrecerá actualizaciones más rápidas, que el sistema operativo Ubuntu no puede proporcionar. Para habilitar el PPA de terceros, vaya al terminal y use el comando add-apt-repository .

¿Qué es el comando cp? ›

Con el comando CP (abreviatura de “copy”) puedes hacer copias de archivos individuales o de carpetas enteras.

¿Qué es Hping3 en Kali Linux? ›

Hping3 es una aplicación de terminal para Linux que nos va a permitir analizar y ensamblar fácilmente paquetes TCP/IP. A diferencia de un Ping convencional que se utiliza para enviar paquetes ICMP, esta aplicación permite el envío de paquetes TCP, UDP y RAW-IP.

¿Cómo se llama el analizador de protocolos más famoso? ›

Wireshark, un gran analizador de protocolos.

¿Cómo ver mensajes en Wireshark? ›

Toma el mensaje:

Hacer clic en Opciones de captura le permite configurar propiedades avanzadas, pero esto no es necesario ahora. Después de hacer clic en el nombre de la interfaz, puede ver los mensajes recibidos en tiempo real. Wireshark captura cada mensaje enviado y recibido por el sistema.

¿Qué tipo de herramienta de monitoreo de red guarda tramas de red en archivos PCAP? ›

Tiburón Bruto es una herramienta de análisis forense de red (NFAT) eficaz que puede utilizar para procesar e inspeccionar el tráfico de red, como archivos PCAP, y capturarlo directamente desde las interfaces de red.

¿Cuáles son los diferentes tipos de tráfico que existen? ›

¿Cuáles son los tipos de tráfico?
  • Tráfico pago. El trafico pago es aquel que se obtiene pagando a un tercero para que envíe visitas a tu página web. ...
  • Tráfico directo. Es el tráfico que proviene de la experiencia o del conocimiento. ...
  • Tráfico viral. ...
  • Tráfico orgánico. ...
  • 5 pasos prácticos para obtener tráfico orgánico.
12 Mar 2018

¿Qué es una herramienta monitoreo de red? ›

¿Qué son los sistemas de monitoreo de red? Los sistemas de monitoreo de red incluyen herramientas de software y hardware que pueden hacer un seguimiento de diversos aspectos de la red y su funcionamiento, como el tráfico, el uso de ancho de banda y el tiempo de actividad.

¿Qué son rastreadores de IP? ›

Los rastreadores o «sniffers» son programas o dispositivos de hardware que pueden espiarle y pueden seguir también toda su actividad en Internet. A veces legítimos, a veces delictivos, pueden hacerle sentir expuesto.

¿Qué es el sniffing and Spoofing? ›

El spoofing consiste en una serie de técnicas hacking, por lo general, con intenciones maliciosas, creadas para suplantar la identidad de entidades o personas en la red, con el objetivo de obtener información privada o para conseguir acceder a páginas con una credencial falsa.

¿Cómo saber si tienes un sniffer? ›

El Test DNS

Algunos sniffers realizan búsquedas inversas DNS en los paquetes que capturan. Cuando se realiza una búsqueda inversa DNS, una utilidad de detección de sniffers huele la petición de las operaciones de búsqueda para ver si el objetivo es aquel que realiza la petición del host inexistente.

¿Qué es Wireshark PDF? ›

Wireshark es un analizador de paquetes gratuito y de código abierto. Se utiliza para la resolución de problemas de red, el análisis, el desarrollo de software y protocolos de comunicación, y la educación.

¿Qué es Wireshark Linux? ›

Wireshark (antes conocido como Ethereal) es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para análisis de datos y protocolos, y como una herramienta didáctica.

¿Qué es y para qué sirve Wireshark? ›

Wireshark es un analizador de paquetes de red, una utilidad que captura todo tipo de información que pasa a través de una conexión. Wireshark es gratis y de código abierto, y se puede usar para diagnosticar problemas de red, efectuar auditorías de seguridad y aprender más sobre redes informáticas.

¿Qué es Hping3 en Kali Linux? ›

Hping3 es una aplicación de terminal para Linux que nos va a permitir analizar y ensamblar fácilmente paquetes TCP/IP. A diferencia de un Ping convencional que se utiliza para enviar paquetes ICMP, esta aplicación permite el envío de paquetes TCP, UDP y RAW-IP.

¿Qué son Traficos de paquetes TCP? ›

El Protocolo de Control de Transmisión (TCP) es un protocolo orientado a conexión que garantiza la entrega fiable de los datos, está compuesto por cuatro capas (Aplicación, Transporte, Internet y Acceso a la red), en la que cada una se encarga de determinados aspectos en la comunicación y a su vez brindan un servicio ...

¿Cómo se llama el analizador de protocolos más famoso? ›

Wireshark, un gran analizador de protocolos.

¿Qué es un sniffer y cómo se utiliza? ›

Un sniffer es una herramienta de software o hardware que permite al usuario supervisar su tráfico en Internet en tiempo real y capturar todo el tráfico de datos que entran y salen de su equipo.

Videos

1. tcpdump - Traffic Capture & Analysis
(HackerSploit)
2. TCPDUMP, una introducción y uso básico
(Junco TIC)
3. Introducción al análisis de tráfico de red con Wireshark
(TechEdu)
4. Curso de Seguridad Informatica - VIDEO 03 - Introducción a tcpdump - Servidores Linux
(Francisco Javier Guzman)
5. Conozca TCPDUMP a fondo (Parte 1)
(Seguridad & Hacking TV)
6. Video 48: PfSense Captura de Paquetes con TCPDUMP Y Wireshark
(Pedro Moreno)

You might also like

Latest Posts

Article information

Author: Duane Harber

Last Updated: 09/17/2022

Views: 5886

Rating: 4 / 5 (51 voted)

Reviews: 82% of readers found this page helpful

Author information

Name: Duane Harber

Birthday: 1999-10-17

Address: Apt. 404 9899 Magnolia Roads, Port Royceville, ID 78186

Phone: +186911129794335

Job: Human Hospitality Planner

Hobby: Listening to music, Orienteering, Knapping, Dance, Mountain biking, Fishing, Pottery

Introduction: My name is Duane Harber, I am a modern, clever, handsome, fair, agreeable, inexpensive, beautiful person who loves writing and wants to share my knowledge and understanding with you.