INTRODUCCIÓN A TCPDUMP

Tcpdump es un programa de captura y análisis de paquetes de red basado en la línea de comandos. Si bien para su utilización es recomendable contar con un conocimiento básico de redes, y del funcionamiento de los protocolos TCP/IP, resulta importante comprender los aspectos fundamentales para su utilización dadas sus prestaciones.

La herramienta puede resultar intimidante al principio, pero, una vez que se conocen sus aspectos básicos, resulta de mucha utilidad para realizar una amplia diversidad de tareas sobre todo en un ambiente en el que no se cuente con una interfaz gráfica.

Tcpdump viene instalado de manera predeterminada en la mayoría de distribuciones de Linux. A continuación, revisaremos algunos de los comandos básicos que nos permitirán trabajar con esta herramienta.

Para comenzar, debemos confirmar si se encuentra instalada en el sistema. Para saber si se tiene instalado Tcpdump usamos el siguiente comando:

which tcpdump

Esto nos permitirá obtener el directorio donde se almacena. En caso de que no se encuentre instalado, bastará con utilizar el siguiente comando para obtenerlo:

sudo apt install tcpdump

El comando iniciará el proceso de instalación y una vez finalizado contaremos con el programa en nuestro sistema. Para conocer la versión de Tcpdump se utiliza el siguiente comando:

tcpdump --version

Captura De Paquetes

Para comenzar la captura de paquetes será necesario contar con privilegios de super usuario. Para esto, es posible colocar el comando:

sudo tcpdump

De esta manera, se solicitará la contraseña del usuario y se iniciará el programa. En pantalla se visualizará la captura de paquetes:

El programa comenzará la captura de paquetes desde la interfaz de red predeterminada. Para detener esta captura se puede utilizar la combinación de teclas:

 CONTROL + C

Guardar una captura

Para guardar la captura de paquetes realizada será necesario emplear el siguiente comando:

sudo tcpdump -w nombre_archivo.pcap

En este caso, la opción -w proviene de write y se utiliza para que los paquetes capturados sean escritos en el archivo especificado lo que permitirá almacenarlos para su análisis. La extensión pcap se utiliza para el almacenamiento de archivos de paquetes de red y se coloca para asegurar la compatibilidad con Tcpdump y otros programas como Wireshark.

Una vez definido el comando, y después de agregar la contraseña de super usuario, comenzará la captura:

En este caso, los paquetes no se imprimen en pantalla y la captura de paquetes continuará hasta que se detenga con el comando Control + C. Una vez finalizada, aparecerá el número de paquetes capturados.

El archivo con los paquetes capturados aparecerá en el directorio especificado:

Leer un Archivo PCAP

Hemos observado cómo es que podemos guardar la captura realizada por el programa. Ahora, corresponde conocer cómo es que se puede consultar su contenido. Para esto, se utilizará el siguiente comando:

sudo tcpdump -r [nombre_archivo.extension]

Por ejemplo, para abrir con el programa la captura recién realizada:

Los resultados de la captura se imprimirán en pantalla para su análisis.

Tcpdump ofrece una amplia variedad de opciones que permitirán especificar la forma en que se realiza la captura y se despliega la información en pantalla, pero resulta importante conocer primero cómo es que se puede realizar la captura básica, almacenar los resultados de una captura, así como a leer los paquetes de los archivos ya almacenados. En las siguientes entradas se profundizará en las opciones que ayudarán a especificar tanto la captura de paquetes como algunas opciones de análisis y presentación de datos.