systemadmin.es » Redes » Leer una captura con tcpdump y volver a filtrar los datos

Leer una captura con tcpdump y volver a filtrar los datos

Al realizar capturas con tcpdump luego resulta útil volver a filtrar los resultados y crear subconjuntos de los datos capturados para tratarlos mejor.

Típicamente se haría una captura así:

# tcpdump -nni eth0 'port 80' -w /tmp/puerto.80

Para ver el contenido del fichero se puede hacer mediante el parámetro -r

# tcpdump -r /tmp/puerto.80 -nn
reading from file /tmp/puerto.80, link-type EN10MB (Ethernet)
09:51:53.381033 IP 94.23.199.229.80 > 83.55.86.46.16540: F 1460928876:1460928876(0) ack 2627565797 win 8151
09:51:53.420947 IP 83.55.86.46.16540 > 94.23.199.229.80: F 1:1(0) ack 0 win 17424
09:51:53.420981 IP 94.23.199.229.80 > 83.55.86.46.16540: . ack 2 win 8151
(...)

Si se quiere se puede volver a filtrar los resultados:

# tcpdump -r /tmp/puerto.80 -nn 'host !83.41.233.195'
reading from file /tmp/puerto.80, link-type EN10MB (Ethernet)
09:51:53.381033 IP 94.23.199.229.80 > 83.55.86.46.16540: F 1460928876:1460928876(0) ack 2627565797 win 8151
09:51:53.420947 IP 83.55.86.46.16540 > 94.23.199.229.80: F 1:1(0) ack 0 win 17424
09:51:53.420981 IP 94.23.199.229.80 > 83.55.86.46.16540: . ack 2 win 8151
09:51:53.426365 IP 83.55.86.46.16541 > 94.23.199.229.80: S 1966858412:1966858412(0) win 16384 <mss 1452,nop,nop,sackOK>
09:51:53.426400 IP 94.23.199.229.80 > 83.55.86.46.16541: S 1500323540:1500323540(0) ack 1966858413 win 5840 <mss 1460,nop,nop,sackOK>
09:51:53.460769 IP 83.55.86.46.16540 > 94.23.199.229.80: . ack 1 win 17424
09:51:53.499070 IP 83.55.86.46.16541 > 94.23.199.229.80: . ack 1 win 17424
09:51:53.519015 IP 83.55.86.46.16541 > 94.23.199.229.80: P 1:628(627) ack 1 win 17424
09:51:53.519049 IP 94.23.199.229.80 > 83.55.86.46.16541: . ack 628 win 6897
09:51:53.606241 IP 83.55.86.46.16541 > 94.23.199.229.80: P 628:1132(504) ack 1 win 17424
09:51:53.606265 IP 94.23.199.229.80 > 83.55.86.46.16541: . ack 1132 win 8151
09:51:53.664407 IP 94.23.199.229.80 > 83.55.86.46.16541: . 1:1453(1452) ack 1132 win 8151
09:51:53.664427 IP 94.23.199.229.80 > 83.55.86.46.16541: P 1453:2824(1371) ack 1132 win 8151
09:51:53.740907 IP 83.55.86.46.16541 > 94.23.199.229.80: . ack 2824 win 17424
09:51:55.665018 IP 94.23.199.229.80 > 83.55.86.46.16541: F 2824:2824(0) ack 1132 win 8151
09:51:55.736686 IP 83.55.86.46.16541 > 94.23.199.229.80: . ack 2825 win 17424

Incluso volver a generar un subconjunto de los datos mediante el parámetro -w

# tcpdump -r /tmp/puerto.80 -nn 'host !83.41.233.195' -w /tmp/puerto.80.ataque
reading from file /tmp/puerto.80, link-type EN10MB (Ethernet)

Lo mismo se puede hacer con el wireshark con la única diferencia que usa colorines

Captura Wireshark

Captura Wireshark

Relacionados

2
Dentro de Redes, Seguridad December 1, 2009 Tags: tcpdump

Imprimir Imprimir

2 comments to “Leer una captura con tcpdump y volver a filtrar los datos”

  1. gonav wrote:
    2. December 2009 at 11:36 am :

    Lo mismo se puede hacer con el wireshark con la única diferencia que usa colorines

    O Tshark, que es la versión consola de whiresark (es parte de la propia herramienta).
    http://www.wireshark.org/docs/man-pages/tshark.html

  2. Jordi Prats wrote:
    15. December 2009 at 2:21 pm :

    No he probado la interfaz ncurses del wireshark, le tengo que dar un vistazo.

    Muchas gracias!

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>