8.4.4.- Examinar el tráfico de red en su formato original

Una de las herramientas avanzadas es tcpdump, una herramienta avanzada para la resolución de problemas de red. Es un sniffer (husmeador de paquetes) que puede interceptar los paquetes de la red para registrarlos o mostrarlos por pantalla. Los sniffers son muy útiles, ya que pueden ayudarnos a verificar si un ordenador recibe la información de otros ordenadores. También nos permite examinar los datos en su formato original, algo útil para localizar problemas si conocemos los detalles de implementación del protocolo.

La forma más básica de utilizar tcpdump es escribiendo su nombre; se debe ejecutar como root, ya que los usuarios normales no pueden monitorizar el tráfico de red de este modo. Cuando está en funcionamiento, tcpdump comienza a mostrar líneas, una por cada paquete que monitoriza. Las líneas incluyen una marca temporal,  un identificador de pila, el nombre o la IP del sistema de origen y su puerto, el nombre o la IP del sistema destino y su puerto e información específica del paquete. tcpdump muestra paquetes indefinidamente mientras no pulsemos Control+c. También podemos pasarle la opción -c num para que muestre num paquetes  y finalice;

tcpdump_c_num

tcpdump permite descartar un rango completo de posibilidades de problemas en base a los datos de su salida, como, por ejemplo, fallos de cableado o un bloqueo del tráfico debido al cortafuegos. Hay varias opciones que amplían o modifican la salida, por ejemplo -A mostrará en ASCII el contenido de los paquetes,

tcpdump_a

-D mostrará una lista de interfaces en las que puede escuchar tcpdump,

tcpdump_d

-n mostrará todas las direcciones numéricamente,

tcpdump_n

-v (o -vv y vvv) mostrará información adicional del paquete…

tcpdump_v

… y -w fichero guardará los paquetes capturados en el fichero especificado.

tcpdump_w_1

Una vez escrito el fichero, este es el resultado.

tcpdump_w_2

En la página man de tcpdump encontrará más detalles sobre estas opciones y opciones adicionales.

Anuncios