Varias veces he tenido la necesidad de capturar y luego analizar más de la información que guarda tcpdump por defecto (con la opción -w) luego de guardarla en un archivo.
TCPDUMP generalmente solo captura 96 bytes del paquete que viaja en el el cable, este valor por lo general es suficiente para analizar ethernet, ip, tcp/udp, icmp. Sin embargo, por ejemplo el contenido de un paquete grane HTTP imposible.
Por ello, en caso de tener la limitante antes mencionada la solución es el flag -s:
Ejemplo de captura por defecto:
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernel
Ejemplo de captura de todo el paquete en el cable:
[root@localhost tmp]# tcpdump -s 0
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
Notese el flag -s en el pase de parametros para tcpdump. Otros flags importantes:
* port
* host
* dst port
* src port
* dst host
* src host
* -w file
y es muy importante recordar que se puede contruir expresiones como las siguientes:
#tcpdump -s 0 dst port 23 and host 1.1.1.1 -w sniff.dump
Con el ejemplo anterior veremos que solo capturará paquetes donde el puerto destino sea 23 y contenga (origen o destino) el host 1.1.1.1
No voy a indicar más ejemplos porque la red se encuentra llena de ejemplos de tcpdump.
Suerte!
Blog en espanol destinado a diferentes temas tecnicos principalmente en IT y Networking. Se desea cubrir Linux, DNS, DNSSEC, RPKI, BGP, Cisco, Programacion (Bash, Python, etc), Protocolos de Enrutamiento, Seguridad en Redes, VoIP.
Suscribirse a:
Enviar comentarios (Atom)
Roles en BGP - Reduciendo fugas de redes/prefijos en BGP con mensajes OPEN y UPDATE
El video muestra una característica muy novedosa aún discutida dentro de IETF de como prevenir routing leaks utilizando un nuevo concepto ll...


-
Pregunta: En mi area (mas de 15 anos trabajando en el mundo de proveedores de Internet) en repetidas ocasiones he recibido la pregunta por ...
-
Necesidad Contar con dos routers y una dirección IP en Standby (HSRP), donde ciertas redes origen enrutarlas por el Carrier A y otras redes...
-
Hola, Si estas en tu MAC y recibes el siguiente mensaje al conectar un dispositivo USB: "no se puede abrir porque no se encuentra el...

No hay comentarios:
Publicar un comentario
¿Algo adicional que quieras mencionar? ¿Algun consejo?, ¿truco? Gracias!