TCPdump Cheat Sheet TOP 10

TCPdump Cheat Sheet TOP 10

¿Qué es TCPDUMP?

TCPDUMP es una herramienta de línea de comandos utilizada para capturar y analizar el tráfico de red. Es ampliamente utilizada por administradores de redes, ingenieros de seguridad y analistas forenses para inspeccionar lo que está sucediendo en una red en tiempo real. Aquí te dejo una guía sobre cómo usar TCPDUMP, incluyendo ejemplos básicos y avanzados.

Captura los paquetes que pasan por una interfaz de red y los muestra en un formato legible para el análisis. Es compatible con varios protocolos de red, como TCP, UDP, ICMP, y otros.
Funciona en sistemas basados en Unix (Linux, BSD, macOS, etc.) y puede capturar paquetes para su análisis posterior.

Instalación

En la mayoría de las distribuciones de Linux, puedes instalar TCPDUMP usando el gestor de paquetes:

sudo apt-get install tcpdump  # Para Debian/Ubuntu
sudo yum install tcpdump      # Para CentOS/RHEL

.

TOP 10 Comandos Útiles

  1. Observar lo que está afectando a su interfaz.
    tcpdump -i eth0
  2. Tráfico HTTPS:
    tcpdump -nnSX port 443
    
  3. Capturar credenciales en texto sin formato
    Posibles contraseñas y nombres de usuario en tráfico no cifrado (HTTP, FTP, TELNET). Esto podría identificar protocolos inseguros en uso o credenciales filtradas.

    tcpdump -A -i eth0 'port http or port ftp or port telnet' | grep -i 'user\|pass\|login'
  4. Monitorear el tráfico a un dominio sospechoso
    Supervise el tráfico hacia un dominio malicioso conocido o un sitio que no sea de confianza.

    tcpdump -i eth0 dst host suspicious.com
    
  5. Capture tráfico desde un rango de IP específico
    Útil para identificar el tráfico que se origina o tiene como destino países u organizaciones específicas.

    tcpdump src net {IP_RANGE_OF_COUNTRY}
    
  6. Monitorear el tráfico de las PYMES
    Capture el tráfico del bloque de mensajes del servidor (SMB) en el puerto 445. El tráfico SMB puede indicar intercambio de archivos o posibles vulnerabilidades como el exploit WannaCry.

    tcpdump -nn -i eth0 port 445
    
  7. Capturar paquetes TCP RESET-ACK
    Identifique paquetes que sean a la vez RESET y ACK, que podrían ser indicativos de ciertos tipos de ataques o configuraciones incorrectas.

    tcpdump 'tcp[13] = 41'
    
  8. Mostrar tráfico de un protocolo
    Si busca un tipo de tráfico en particular, puede utilizar tcp, udp, icmp y muchos otros también.

    tcpdump icmp
    
  9. Mostrar solo tráfico IP6
    También puede encontrar todo el tráfico IP6 utilizando la opción de protocolo.

    tcpdump ip6
    
  10. Buscar tráfico mediante rangos de puertos
    También puede utilizar una variedad de puertos para encontrar tráfico.

    tcpdump portrange 21-23
    
No hay etiquetas para esta entrada.