tcpdump: Capturar tráfico de red por un puerto específico

En muchos casos cuando queremos probar una herramienta web o cualquier otra, vamos a necesitar saber si está pasando tráfico por un puerto o lo utiliza un servicio específico. Ya sabemos que en nuestros sistemas GNU/Linux tenemos gran cantidad de herramientas y en este caso una de las más adecuadas sería tcpdump.

Capturar tráfico de red por un puerto específico con tcpdump

De esta herramienta ya hablamos en su día, dentro de un artículo más amplio llamado “Herramientas de administración de redes en Linux”, pero lo tratamos muy por encima. En la entrada de hoy vamos a ver como trabajar con ella para obtener el tráfico de red por un puerto específico.

Recordamos que para ver el tráfico de red de una sola interfaz de red sería así:

  1. tcpdump -i eth0

Para monitorizar el tráfico de red de esta interfaz por un puerto específico sería:

  1. tcpdump -i eth0 ‘port 21

Vemos un poco las posibilidades:

  • vv: Para una salida más detallada.
  • x: Al analizar o imprimir, además de mostrar los encabezados de cada paquete, muestra los datos de cada paquete.
  • X: Al analizar o imprimir, además de mostrar los encabezados de cada paquete, muestra los datos de cada paquete (menos su encabezado a nivel de enlace) en hexadecimal y ASCII. Este parámetro es muy útil para analizar protocolos.
  • i: Monitorea la interfaz indicada.

Laboratorio de pruebas

Para la ocasión, he utilizado el mismo servidor donde instalé Elastic Stack, y he filtrado el tráfico del puerto 5601, que es el de Kibana.

Con el resultado:

  1. root@servcentos1 metricbeat]# tcpdump -i enp0s3 'port 5601'
  2. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
  3. listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
  4. 11:01:38.708751 IP usuario.ochobitshacenunbyte.com.esmagent > im1432.equipo.local.64476: \ 
  5. Flags [.], ack 469, win 731, length 0
  6. 11:01:38.741488 IP usuario.ochobitshacenunbyte.com.esmagent > im1432.equipo.local.64476: \
  7. Flags [P.], seq 1:303, ack 469, win 731, length 302
  8. 11:01:38.746557 IP usuario.ochobitshacenunbyte.com.esmagent > im1432.equipo.local.64476: \
  9. Flags [.], seq 303:1763, ack 469, win 731, length 1460
  10. 11:01:38.746575 IP usuario.ochobitshacenunbyte.com.esmagent > im1432.equipo.local.64476: \
  11. Flags [.], seq 1763:3223, ack 469, win 731, length 1460

Y esto es todo por hoy. Espero que el artículo os sea de utilidad en algún momento. Nos vamos leyendo ^.^