Capturar paquetes en linux con «tcpdump»

Prerequisitos

Instalar el paquete como root.

Centos

sudo su -
yum install tcpdump

Debian y Ubuntu

sudo su -
apt-get install tcpdump

 

Parámetros básicos

-A: Muestra paquetes en código ASCII.

-x: Muestra los paquetes en hexadecimal.

-D: Muestra las interfaces de red sobre las que monitorear

-i interface: Define la interfaz de red concreta donde escuchar.

-c número: Ejecuta el programa hasta llegar al número de paquetes indicado.

-I: Pone la interfaz en modo monitor.

-p: No pone la interfaz en modo promiscuo.

-f fichero: Almacena la salida en el fichero que se le indique.

-h: Acceso a la ayuda.

 

Ejemplos de captura de paquetes

Consultar las interfaces de red sobre las que monitorear

tcpdump -D

Capturar paquetes que van por la red inalámbrica

tcpdump -nS -i wlan0

Capturar paquetes que van por la red inalámbrica

tcpdump -nS -i wlan0

Capturar paquetes que van por cualquier interfaz de red

tcpdump -v -i any

Capturar los paquetes con destino al puerto 8080

tcpdump dest port 8080

Capturar los paquetes con destino o origen al puerto 8080

tcpdump port 8080

Capturar los paquetes de la interfaz eth1 por el puerto 8080

tcpdump -ni eth1 port 8080

Capturar los paquetes con la ID origen sea 192.168.120.1

tcpdump src host 192.168.120.1

Capturar los paquetes cuya red destino sea la indicada

tcpdump dst net 192.168.1.0

Capturar los paquetes cuya ip origen o destino sea la indicada

tcpdump host 192.168.1.1

Capturar los paquetes que vaya a la máquina cuya dirección MAC es 0:45:a5:ab:ac:32

tcpdump ether host 0:45:a5:ab:ac:32

Capturar los paquetes de la interfaz eth0 y el protocolo TCP

tcpdump -i eth0 tcp

Fuente: Web Oficial