tcpdump es un herramienta en línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar a tiempo real los paquetes transmitidos y recibidos en la red a la cual el ordenador está conectado.
La idea de hoy es aplicar pequeños filtros pero sin dudas los más efectivo para poder visualizar eso que tanto nos interesa, como por ejemplo ver si un host se está conectando al server por un puerto determinado o un protocolo específico.
Filtros por Host
Aqui podemos especificar un host tanto para su origen como destino
$ tcpdump -i eth1 host 192.168.1.1
especificación de un origen
$ tcpdump -i eth1 src host 192.168.1.1
especificación de un destino
$ tcpdump -i eth1 dst host 192.168.1.1
Filtros por Puertos
Podemos especificar un puerto, tanto de origen como destino
$ tcpdump -i eth1 port 25
Especificación de puerto origen
$ tcpdump -i eth1 src port 25
Especificación de puerto destino
$ tcpdump -i eth1 dst port 25
Filtros por Segmentos
Siguiendo esta mismas premisas podemos filtrar nuestra información por algún segmento de red
$ tcpdump -i eth1 net 192.168
$ tcpdump -i eth1 src net 192.168
$ tcpdump -i eth1 dst net 192.168
Filtros por Protocolo
$ tcpdump -i eth1 arp
$ tcpdump -i eth1 ip
$ tcpdump -i eth1 tcp
$ tcpdump -i eth1 udp
$ tcpdump -i eth1 icmp
Filtros con Expresiones
Negación: ! o "not"
Concatenar : && o "and"
Alternativa: || o "or"
Un ejemplo integrador puede ser
$ tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
Con estos pequeños filtros van a poder ser más objetivos a la hora de ejecutar tcpdump y verificar sus conexiones.
Saludos!
No hay comentarios.:
Publicar un comentario