Introducción a Tcpdump

Si ejecuta un servidor, indudablemente llegará a un punto en el que necesita resolver algunos problemas relacionados con la red. Por supuesto, sería fácil enviar un correo al departamento de soporte, pero a veces es necesario ensuciarse las manos. En este caso, tcpdumpes la herramienta para ese trabajo. Tcpdump es un analizador de paquetes de red que se ejecuta bajo la línea de comando.

Este artículo se dividirá en tres partes:

• Caracteristicas basicas.
• Filtrado basado en ciertas características del tráfico.
• Un breve fragmento de las funciones más avanzadas (como expresiones lógicas, filtrado por banderas TCP).

Como tcpdump no está incluido en la mayoría de los sistemas básicos, deberá instalarlo. Sin embargo, casi todas las distribuciones de Linux tienen tcpdump en sus repositorios principales. Para distribuciones basadas en Debian, el comando para instalar tcpdump es:

apt-get install tcpdump

Para CentOS / RedHat, use el siguiente comando:

yum install tcpdump

FreeBSD ofrece un paquete preconstruido que se puede instalar emitiendo:

pkg install tcpdump

También hay un puerto disponible, net/tcpdumpque se puede instalar a través de:

cd /usr/ports/net/tcpdump
make install clean

Si corres tcpdumpsin ningún argumento, serás maltratado con los resultados. Ejecutarlo en una instancia recién girada aquí en Vultr durante menos de cinco segundos da los siguientes resultados:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Antes de entrar en más detalles sobre cómo filtrar la entrada, debe echar un vistazo a algunos parámetros que se pueden pasar a tcpdump:

• -i- Especifica la interfaz que desea escuchar, por ejemplo: tcpdump -i eth0.
• -n- No intente realizar búsquedas inversas en las direcciones IP, por ejemplo: tcpdump -n(si agrega otro ntcpdump le mostrará números de puerto en lugar de nombres).
• -X- Mostrar el contenido de los paquetes recogidos: tcpdump -X.
• -c- Solo captura xpaquetes, xsiendo un número arbitrario, por ejemplo tcpdump -c 10captura exactamente 10 paquetes.
• -v- Aumente la cantidad de información del paquete que se muestra, más vs agregue más verbosidad.

Cada uno de los parámetros mencionados aquí se puede combinar. Si desea capturar 100 paquetes, pero solo en su interfaz VPN tun0, entonces el comando tcpdump se vería así:

tcpdump -i tun0 -c 100 -X

Hay docenas (si no cientos) de opciones además de esas pocas, pero son las más comunes. Siéntase libre de leer la página de manual de tcpdump en su sistema.

Ahora que tiene una comprensión básica de tcpdump, es hora de ver una de las características más impresionantes de tcpdump: las expresiones. Las expresiones te harán la vida mucho más fácil. También se conocen como BPF o Berkeley Packet Filters. El uso de expresiones le permite mostrar selectivamente (o ignorar) los paquetes basados ​​en ciertas características, como el origen, el destino, el tamaño o incluso el número de secuencia TCP.

Hasta ahora, ha logrado limitar su búsqueda a una cierta cantidad de paquetes en una determinada interfaz, pero seamos honestos aquí: eso todavía deja demasiado ruido de fondo para trabajar de manera efectiva con los datos recopilados. Ahí es donde entran en juego las expresiones. El concepto es bastante sencillo, por lo que dejaremos de lado la teoría seca aquí y apoyaremos la comprensión con algunos ejemplos prácticos.

Las expresiones que probablemente usarás más son:

• host - Busque el tráfico basado en nombres de host o direcciones IP.
• srco dst- Busque el tráfico desde o hacia un host específico.
• proto- Busque el tráfico de un determinado protocolo. Funciona para tcp, udp, icmp y otros. Omitir la protopalabra clave también es posible.
• net - Busque el tráfico hacia / desde un cierto rango de direcciones IP.
• port - Busque el tráfico hacia / desde un determinado puerto.
• greatero less- Busque tráfico mayor o menor que una cierta cantidad de bytes.

Si bien la página de manual para tcpdumpsolo contiene algunos ejemplos, la página de manual para pcap-filtertiene explicaciones muy detalladas sobre cómo funciona y se puede aplicar cada filtro.

Si desea ver cómo va su comunicación con un determinado servidor, puede usar la hostpalabra clave, por ejemplo (incluidos algunos de los parámetros anteriores):

tcpdump -i eth0 host vultr.com

A veces hay computadoras en la red que no honran la MTU o que le envían correo no deseado con paquetes grandes; filtrarlos puede ser difícil a veces. Las expresiones le permiten filtrar paquetes que son más grandes o más pequeños que un cierto número de bytes:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Quizás solo un cierto puerto sea de su interés. En este caso, use la portexpresión:

tcpdump -i eth0 -X port 21

También puede buscar rangos de puertos:

tcdump -i eth0 -X portrange 22-25

Como las puertas de enlace NAT son bastante comunes, solo puede buscar puertos de destino:

tcpdump dst port 80

Si está viendo el tráfico a su servidor web, es posible que solo quiera mirar el tráfico TCP al puerto 80:

tcpdump tcp and dst port 80

Probablemente se esté preguntando qué andestá haciendo la palabra clave allí. Buena pregunta. Eso nos lleva a la última parte de este artículo.

tcpdump ofrece soporte básico para expresiones lógicas, más específicamente:

• and/ &&- Lógico "y".
• or/ ||- Lógico "o".
• not/ !- Lógico "no".

Junto con la capacidad de agrupar expresiones, esto le permite crear búsquedas muy potentes para el tráfico entrante y saliente. Así que filtremos el tráfico proveniente de vultr.com en el puerto 22 o 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Ejecutar esto en la línea de comando le dará el siguiente error:

bash: syntax error near unexpected token `('

Eso es porque hay una advertencia: bashtrata de evaluar a cada personaje que pueda. Esto incluye los caracteres (y ). Para evitar ese error, debe usar comillas simples alrededor de la expresión combinada:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Otro ejemplo útil: al depurar problemas de SSH con uno de sus usuarios, es posible que desee ignorar todo lo relacionado con su sesión de SSH:

tcpdump '!(host $youripaddress) && port 22)'

Una vez más, los casos de uso son infinitos y puede especificar en profundidades extremas qué tipo de tráfico desea ver. El siguiente comando le mostrará solo los paquetes SYNACK de un protocolo de enlace TCP:

tcpdump -i eth0 'tcp[13]=18'

Esto funciona observando el decimotercer desplazamiento del encabezado TCP y el decimoctavo byte dentro de él.

Si llegó hasta aquí, está listo para la mayoría de los casos de uso que surjan. Apenas puedo tocar la superficie sin entrar en demasiados detalles. Le recomiendo que experimente con las diferentes opciones y expresiones un poco más; y como de costumbre: consulta la página de manual cuando te pierdas.

Por último, pero no menos importante, un vistazo rápido. ¿Recuerdas el comienzo de este artículo? ¿Con los miles de paquetes capturados en cuestión de segundos? El poder de tcpdumppuede reducir eso mucho:

tcpdump -i eth0 tcp port 22

El resultado es ahora:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Esto es mucho más sano y fácil de depurar. Happy networking!