tcpdump: Capturar tráfico de red por un puerto específico

En muchos casos cuando queremos probar una herramienta web o cualquier otra, vamos a necesitar saber si está pasando tráfico por un puerto o lo utiliza un servicio específico. Ya sabemos que en nuestros sistemas GNU/Linux tenemos gran cantidad de herramientas y en este caso una de las más adecuadas sería tcpdump.

Capturar tráfico de red por un puerto específico con tcpdump

De esta herramienta ya hablamos en su día, dentro de un artículo más amplio llamado “Herramientas de administración de redes en Linux”, pero lo tratamos muy por encima. En la entrada de hoy vamos a ver como trabajar con ella para obtener el tráfico de red por un puerto específico.

Recordamos que para ver el tráfico de red de una sola interfaz de red sería así:

1
tcpdump -i eth0

Para monitorizar el tráfico de red de esta interfaz por un puerto específico sería:

1
tcpdump -i eth0 ‘port 21

Vemos un poco las posibilidades:

  • vv: Para una salida más detallada.
  • x: Al analizar o imprimir, además de mostrar los encabezados de cada paquete, muestra los datos de cada paquete.
  • X: Al analizar o imprimir, además de mostrar los encabezados de cada paquete, muestra los datos de cada paquete (menos su encabezado a nivel de enlace) en hexadecimal y ASCII. Este parámetro es muy útil para analizar protocolos.
  • i: Monitorea la interfaz indicada.

Laboratorio de pruebas

Para la ocasión, he utilizado el mismo servidor donde instalé Elastic Stack, y he filtrado el tráfico del puerto 5601, que es el de Kibana.

Con el resultado:

1
2
3
4
5
6
7
8
9
10
11
root@servcentos1 metricbeat]# tcpdump -i enp0s3 'port 5601'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
11:01:38.708751 IP usuario.ochobitshacenunbyte.com.esmagent > im1432.equipo.local.64476: \ 
Flags [.], ack 469, win 731, length 0
11:01:38.741488 IP usuario.ochobitshacenunbyte.com.esmagent > im1432.equipo.local.64476: \
Flags [P.], seq 1:303, ack 469, win 731, length 302
11:01:38.746557 IP usuario.ochobitshacenunbyte.com.esmagent > im1432.equipo.local.64476: \
Flags [.], seq 303:1763, ack 469, win 731, length 1460
11:01:38.746575 IP usuario.ochobitshacenunbyte.com.esmagent > im1432.equipo.local.64476: \
Flags [.], seq 1763:3223, ack 469, win 731, length 1460

Y esto es todo por hoy. Espero que el artículo os sea de utilidad en algún momento. Nos vamos leyendo ^.^

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies