TCPdump Cheat Sheet TOP 10

  1. Observar lo que está afectando a su interfaz.
    tcpdump -i eth0
  2. Tráfico HTTPS:
    tcpdump -nnSX port 443
    
  3. Capturar credenciales en texto sin formato
    Posibles contraseñas y nombres de usuario en tráfico no cifrado (HTTP, FTP, TELNET). Esto podría identificar protocolos inseguros en uso o credenciales filtradas.

    tcpdump -A -i eth0 'port http or port ftp or port telnet' | grep -i 'user\|pass\|login'
  4. Monitorear el tráfico a un dominio sospechoso
    Supervise el tráfico hacia un dominio malicioso conocido o un sitio que no sea de confianza.

    tcpdump -i eth0 dst host suspicious.com
    
  5. Capture tráfico desde un rango de IP específico
    Útil para identificar el tráfico que se origina o tiene como destino países u organizaciones específicas.

    tcpdump src net {IP_RANGE_OF_COUNTRY}
    
  6. Monitorear el tráfico de las PYMES
    Capture el tráfico del bloque de mensajes del servidor (SMB) en el puerto 445. El tráfico SMB puede indicar intercambio de archivos o posibles vulnerabilidades como el exploit WannaCry.

    tcpdump -nn -i eth0 port 445
    
  7. Capturar paquetes TCP RESET-ACK
    Identifique paquetes que sean a la vez RESET y ACK, que podrían ser indicativos de ciertos tipos de ataques o configuraciones incorrectas.

    tcpdump 'tcp[13] = 41'
    
  8. Mostrar tráfico de un protocolo
    Si busca un tipo de tráfico en particular, puede utilizar tcp, udp, icmp y muchos otros también.

    tcpdump icmp
    
  9. Mostrar solo tráfico IP6
    También puede encontrar todo el tráfico IP6 utilizando la opción de protocolo.

    tcpdump ip6
    
  10. Buscar tráfico mediante rangos de puertos
    También puede utilizar una variedad de puertos para encontrar tráfico.

    tcpdump portrange 21-23
    

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *