Volcado de tcp

tcpdump es un programa informático analizador de paquetes de red de datos que se ejecuta bajo una interfaz de línea de comandos. Permite al usuario mostrar TCP/IP y otros paquetes que se transmiten o reciben a través de una red a la que está conectada la computadora. Distribuido bajo la licencia BSD, tcpdump es software libre.

Tcpdump funciona en la mayoría de los sistemas operativos similares a Unix: Linux, Solaris, FreeBSD, DragonFly BSD, NetBSD, OpenBSD, OpenWrt, macOS, HP-UX 11i y AIX. En esos sistemas, tcpdump usa la biblioteca libpcap para capturar paquetes. El puerto de tcpdump para Windows se llama WinDump; utiliza WinPcap, la versión de Windows de libpcap.

Historia

tcpdump fue escrito originalmente en 1988 por Van Jacobson, Sally Floyd, Vern Paxson y Steven McCanne quienes, en ese momento, trabajaban en el Grupo de Investigación de la Red del Laboratorio Lawrence Berkeley. A fines de la década de 1990, se distribuyeron numerosas versiones de tcpdump como parte de varios sistemas operativos y numerosos parches que no estaban bien coordinados. Michael Richardson (mcr) y Bill Fenner crearon www.tcpdump.org en 1999.

Usos comunes

tcpdump imprime el contenido de los paquetes de red. Puede leer paquetes desde una tarjeta de interfaz de red o desde un archivo de paquete guardado previamente creado. tcpdump puede escribir paquetes en la salida estándar o en un archivo.

También es posible usar tcpdump con el propósito específico de interceptar y mostrar las comunicaciones de otro usuario o computadora. Un usuario con los privilegios necesarios en un sistema que actúa como enrutador o puerta de enlace a través del cual pasa el tráfico no cifrado, como Telnet o HTTP, puede usar tcpdump para ver los ID de inicio de sesión, las contraseñas, las URL y el contenido de los sitios web que se están viendo, o cualquier otra información no cifrada.

El usuario puede opcionalmente aplicar un filtro basado en BPF para limitar el número de paquetes vistos por tcpdump; esto hace que la salida sea más utilizable en redes con un alto volumen de tráfico.

Ejemplo de interfaces de captura disponibles en un sistema Linux:

$ tcpdump -D
1.eth0 [Up, Running, Connected]2.any (Pseudo-device que captura en todas las interfaces) [Up, Running]3.lo [Up, Running, Loopback]4. bluetooth-monitor (Bluetooth Linux Monitor)5.usbmon2 (Raw tráfico USB, autobús número 2)6.usbmon1 (Raw tráfico USB, número de autobús 1)7.usbmon0 (Raw tráfico USB, todos los autobuses USB) [ninguno]8.nflog (Interfaz de registro netfilter Linux (NFLOG) [none]9.nfqueue (Linux netfilter queue (NFQUEUE) interface [none]10.dbus-system (D-Bus system bus) [none]11.dbus-session (D-Bus session bus) [none]12.bluetooth0 (Bluetooth adaptador número 0)13.eth1 [ninguno, desconectado]

Privilegios requeridos

En algunos sistemas operativos similares a Unix, un usuario debe tener privilegios de superusuario para usar tcpdump porque los mecanismos de captura de paquetes en esos sistemas requieren privilegios elevados. Sin embargo, la opción -Z se puede usar para quitar privilegios a un usuario específico sin privilegios después de configurar la captura. En otros sistemas operativos similares a Unix, el mecanismo de captura de paquetes se puede configurar para permitir que los usuarios sin privilegios lo utilicen; si se hace eso, no se requieren privilegios de superusuario.