Network Analysis
Captura en Vivo con TCPDump y TShark
Interfaces disponibles
Antes de capturar, siempre verificá en qué interfaz querés escuchar.
TCPDump:
tcpdump -DTShark:
tshark -DCapturar tráfico en vivo
TCPDump:
sudo tcpdump -i eth0-i = interfaz (podés usar any para todas)
TShark:
sudo tshark -i eth0Guardar captura a un archivo .pcap
.pcapTCPDump:
sudo tcpdump -i eth0 -w captura.pcapTShark:
sudo tshark -i eth0 -w captura.pcapCaptura filtrada (por protocolo, puerto, IP, etc.)
Solo tráfico HTTP (puerto 80):
tcpdump -i eth0 port 80
tshark -i eth0 -f "port 80"Solo paquetes TCP:
tcpdump -i eth0 tcp
tshark -i eth0 -f "tcp"Solo una IP:
tcpdump -i eth0 host 192.168.1.5
tshark -i eth0 -f "host 192.168.1.5"IP origen y destino específicos:
tcpdump -i eth0 src 192.168.1.2 and dst 10.0.0.5Número limitado de paquetes
tcpdump -i eth0 -c 100
tshark -i eth0 -c 100Capturar solo cabeceras (sin payload)
tcpdump -i eth0 -s 96-s = snaplen. Para ver todo el paquete, usá -s 0.
Visualización en consola (análisis en vivo)
Mostrar contenido en ASCII:
tcpdump -i eth0 -AMostrar hex + ASCII:
tcpdump -i eth0 -XVerbosidad y timestamp detallado:
tcpdump -i eth0 -nnvvttttCaptura en background (modo análisis continuo)
TCPDump:
sudo nohup tcpdump -i eth0 -w /tmp/captura.pcap &nohup evita que se corte si cerrás la terminal, & lo manda al background.
Análisis de Capturas
Leer archivos .pcap
.pcapTCPDump:
tcpdump -r archivo.pcapTShark:
tshark -r archivo.pcapFiltros básicos en TCPDump
tcpdump -r archivo.pcap tcp
tcpdump -r archivo.pcap udp
tcpdump -r archivo.pcap port 80
tcpdump -r archivo.pcap 'tcp[tcpflags] == tcp-syn'
tcpdump -r archivo.pcap 'tcp[tcpflags] == 24'
tcpdump -r archivo.pcap 'icmp[0] == 8'Opciones útiles de visualización
tcpdump -r archivo.pcap -nnvvXExtracción de datos con comandos de texto
cut
tcpdump -r archivo.pcap | cut -d ">" -f 1awk
tcpdump -r archivo.pcap | awk '{print $7}'
awk '{print $(NF-2)}'grep
tcpdump -r archivo.pcap -A | grep "zip"TShark: potencia de Wireshark en consola
Filtrar por protocolo:
tshark -r archivo.pcap -Y httpMostrar solo IPs:
tshark -r archivo.pcap -T fields -e ip.src -e ip.dstVer flags TCP:
tshark -r archivo.pcap -Y "tcp.flags.syn == 1 && tcp.flags.ack == 1"Ver contenido de aplicación:
tshark -r archivo.pcap -Y "http.request" -T fields -e http.host -e http.request.uriCrear resumen estadístico
Con TShark:
tshark -r archivo.pcap -q -z io,phsCon TCPDump + sort + uniq:
tcpdump -r archivo.pcap | awk '{print $3}' | cut -d "." -f1-4 | sort | uniq -c | sort -nrEjemplo: análisis de tráfico sospechoso
tcpdump -r captura.pcap 'tcp[tcpflags] == 24' -nn -tttt -A | grep -i "user\|pass"Resumen de flags TCP (valores binarios)
Ej: tcp[tcpflags] == 24 (PSH 8 + ACK 16)
Inteligencia con TCPDump, TShark y Bash
Detectar Port Scanning (SYN scan / Nmap)
tcpdump -n -r captura.pcap 'tcp[tcpflags] == 2' | awk '{print $3}' | cut -d'.' -f1-4 | sort | uniq -c | sort -nr | headDetectar conexiones completas (3-way handshake)
tshark -r captura.pcap -Y "tcp.flags.syn == 1 and tcp.flags.ack == 0" -T fields -e ip.src -e tcp.srcport
tshark -r captura.pcap -Y "tcp.flags.syn == 1 and tcp.flags.ack == 1" -T fields -e ip.dst -e tcp.dstportExtraer archivos o strings sospechosos
tcpdump -A -r captura.pcap | grep -i -E "\.zip|\.exe|\.rar"
tcpdump -A -r captura.pcap | grep -i -E "pass|login|usuario|clave"Estadísticas de tráfico con TShark
tshark -r captura.pcap -q -z io,stat,0,ip,tcp,udp,icmp
tshark -r captura.pcap -q -z conv,ipAnálisis pasivo de contraseñas HTTP
tshark -r captura.pcap -Y "http.request.method == POST" -T fields -e ip.src -e http.host -e http.file_dataCaptura de tráfico con rotación
sudo tcpdump -i eth0 -C 10 -W 5 -w captura.pcapConvertir .pcap en JSON o CSV
.pcap en JSON o CSVCSV:
tshark -r captura.pcap -T fields -e frame.time -e ip.src -e ip.dst -e tcp.srcport -e tcp.dstport -E separator=, > salida.csvJSON:
tshark -r captura.pcap -T json > salida.jsonLive Sniffing + Análisis en tiempo real
tcpdump -i eth0 -l -A | grep -iE "user|pass|cookie"-l permite que el output se vea en vivo.
Última actualización