TCPDump

tcpdump --version | Imprime las cadenas de versión de tcpdump y libpcap y luego sale.

tcpdump -h | Imprime la ayuda y la información de uso.

tcpdump -D | Imprime una lista de interfaces de red utilizables desde las que tcpdump puede capturar.

tcpdump -i (interface name or #) | Ejecuta tcpdump y utiliza la interfaz especificada para capturar.

tcpdump -i (int) -w file.pcap | Ejecuta una captura en la interfaz especificada y escribe la salida en un archivo.

tcpdump -r file.pcap | TCPDump leerá la salida de un archivo especificado.

tcpdump -r/-w file.pcap -l \\| grep 'string' | TCPDump utilizará el tráfico de captura de una captura en vivo o un archivo y configurará la salida estándar como con búfer de línea. Luego podemos utilizar pipe (\\|) para enviar esa salida a otras herramientas como grep para buscar cadenas o patrones específicos.

tcpdump -i (int) host (ip) | TCPDump iniciará una captura en la interfaz especificada en (int) y solo capturará el tráfico que se origine o tenga como destino la dirección IP o el nombre de host especificado después de `host`.

tcpdump -i (int) port (#) | Filtrará la captura para cualquier cosa que provenga o esté destinada al puerto (#) y descartará el resto.

tcpdump -i (int) proto (#) | Filtrará la captura para cualquier tráfico de protocolo que coincida con (#). Por ejemplo, (6) filtraría cualquier tráfico TCP y descartaría el resto.

tcpdump -i (int) (proto name) | Utilizará un nombre común de protocolos para filtrar el tráfico capturado. TCP/UDP/ICMP como ejemplos.


TCPDump filtros y opciones

D | Mostrará cualquier interfaz disponible para capturar.

i | Selecciona una interfaz desde la que capturar. ex. -i eth0

n | No resuelva los nombres de host.

nn | No resuelva nombres de host o puertos conocidos.

e | Tomará el encabezado de ethernet junto con los datos de la capa superior.

X | Muestra el contenido de los paquetes en hexadecimal y ASCII.

XX | Igual que X, pero también especificará encabezados de ethernet. (como usar Xe)

v, vv, vvv | Aumente la verbosidad de la salida mostrada y guardada.

c | Tome un número específico de paquetes, luego salga del programa.

s | Define cuánto de un paquete tomar.

S | Cambie los números de secuencia relativos en la pantalla de captura a números de secuencia absolutos. (13248765839 en lugar de 101)

q | Imprima menos información de protocolo.

r file.pcap | Leer de un archivo.

w file.pcap | Escribir en un archivo.

host | El host filtrará el tráfico visible para mostrar cualquier cosa que involucre al host designado. bidireccional.

src / dest | `src` y `dest` son modificadores. Podemos usarlos para designar un host o puerto de origen o de destino.

net | `net` nos mostrará cualquier origen de tráfico o destinado a la red designada. Utiliza la notación /.

proto | filtrará para un tipo de protocolo específico. (éter, TCP, UDP e ICMP como ejemplos)

port | `port` es bidireccional. Mostrará cualquier tráfico con el puerto especificado como origen o destino.

portrange | `portrange` nos permite especificar un rango de puertos. (0-1024)

less / greater "< >" | `less` y `greater` se pueden usar para buscar una opción de paquete o protocolo de un tamaño específico.

and / && | `and` y `&&` se puede usar para concatenar dos filtros diferentes juntos. por ejemplo, src host Y puerto.

or | `or` permite una coincidencia en cualquiera de dos condiciones. No tiene que cumplir con ambos. Puede ser complicado.

not | `not` es un modificador que dice cualquier cosa menos x. Por ejemplo, no UDP.


* TShark

tshark -h | Imprime el menú de ayuda.

tshark -D | Enumere las interfaces disponibles desde las que capturar.

tshark -i (int) | Captura en una interfaz seleccionada. Reemplace (int) con el nombre o número de la interfaz.

tshark -i eth0 -f "host (ip)" | Aplique un filtro con (-f) buscando un host específico mientras utiliza tshark

D | Mostrará cualquier interfaz disponible para capturar y luego saldrá.

L | Enumerará los medios de capa de enlace desde los que puede capturar y luego saldrá. (Ethernet como ejemplo)

i | Elija una interfaz desde la que capturar. (-i eth0)

f | Filtro de paquetes en sintaxis libpcap. Se utiliza durante la captura.

c | Tome un número específico de paquetes, luego salga del programa. Define una condición de parada.

a | Define una condición de parada automática. Puede ser después de una duración, un tamaño de archivo específico o después de una cierta cantidad de paquetes.

r (pcap-file) | Leer de un archivo.

W (pcap-file) | Escriba en un archivo usando el formato pcapng.

P | Imprimirá el resumen del paquete mientras escribe en un archivo (-W)

x | Agregará salida hexadecimal y ASCII a la captura.

h | Ver el menú de ayuda


** WireShark

*Capture Filters
host x.x.x.x | Capture solo el tráfico perteneciente a un determinado host.

net x.x.x.x/24 | Capture el tráfico hacia o desde una red específica (usando la notación de barra para especificar la máscara).

src/dst net x.x.x.x/24 | El uso de src o dst net solo capturará el origen del tráfico de la red especificada o destinado a la red de destino.

port # | Filtrará todo el tráfico excepto el puerto que especifique.

not | Capturará todo excepto la variable especificada. ej. `not port 80`.

and | AND concatenará sus puertos especificados. ex. `host 192.168.1.1 and port 80`

portrange x-x | Portrange tomará tráfico de todos los puertos dentro del rango solamente.

ip/ether/tcp | Estos filtros solo captarán el tráfico de los encabezados de protocolo especificados.

broadcast / multicast / unicast | Agarra un tipo específico de tráfico. uno a uno, uno a muchos o uno a todos.

*Display Filters

ip.addr == x.x.x.x | Capture solo el tráfico perteneciente a un determinado host. Esta es una declaración OR.

ip.addr == x.x.x.x/24 | Captura el tráfico perteneciente a una red específica. Esta es una declaración OR.

ip.src/dst == x.x.x.x | Capture el tráfico hacia o desde un host específico.

dns / tcp / ftp / arp / ip | filtrar el tráfico por un protocolo específico. Hay muchas más opciones.

tcp.port == x | filtrar por un puerto tcp específico.

src.port / dst.port ==x | capturará todo excepto el puerto especificado.

and/or/not | AND se concatenará, OR encontrará cualquiera de las dos opciones, NOT excluirá su opción de entrada.

tcp.stream eq # | Nos permite seguir una sesión tcp en la que capturamos todo el stream. Reemplace (#) con la sesión para volver a ensamblar.

http | Filtrará cualquier tráfico que coincida con el protocolo http.

http && image-jfif | Este filtro mostrará cualquier paquete con un archivo de imagen jpeg.

ftp | Filtros para el protocolo ftp.

ftp.request.command | Filtrará cualquier comando de control enviado a través del canal de control ftp.

ftp-data | Mostrará cualquier objeto transferido a través de ftp.


* Misc

sudo * | Sudo ejecutará el comando que lo precede con privilegios elevados.

which (application) | Utiliza which para determinar si (aplicación) está instalada en el host. Reemplace la aplicación con lo que está buscando. ej. `which tcpdump`

sudo apt install (application) | Utiliza privilegios elevados para instalar un paquete de aplicación si no existe en el host. ej. `sudo apt install wireshark`

man (application) | Muestra las páginas del manual de una aplicación. ex. `hombre tcpdump`.


Ports y Protocolos

20 | FTP-Data | Canal de datos para pasar archivos FTP.

21 | FTP-Command | Canal de control para emitir comandos a un servidor FTP.

22 | SSH | Puerto de servicio de shell seguro. Proporciona comunicaciones remotas seguras.

23 | Telnet | El servicio Telnet proporciona comunicaciones de texto claro entre hosts.

25 | SMTP | Protocolo simple de transferencia de correo. Utilizado para transmisiones de correo electrónico entre servidores.

53 | DNS | Servicios de nombres de dominio. Proporciona resolución de nombres con múltiples protocolos.

69 | TFTP | Protocolo trivial de transferencia de archivos. Un protocolo de transferencia ligero y de funciones mínimas.

80 | HTTP | Protocolo de Transferencia de Hipertexto. Proporciona servicios web dinámicos.

88 | Kerberos | Proporcionar autenticación de red criptográfica.

110 | POP3 | Servicio de correo utilizado por los clientes para recuperar el correo electrónico de un servidor.

111 | RPC | Llamada a procedimiento remoto. Servicio remoto para la gestión de sistemas de archivos de red.

115 | SFTP | Protocolo de transferencia de archivos SSH. Una extensión de SSH que brinda servicios FTP seguros y confiables.

123 | NTP | Protocolo de tiempo de red. Proporciona servicios de temporización y sincronización para dispositivos de red.

137` | Netbios-NS | Resolución de nombres de red local.

139 | Netbios-SSN | Proporciona servicios de sesión para la transferencia de datos. Servicios como SMB pueden utilizarlo.

179 | BGP | Protocolo de puerta de enlace fronteriza. BGP es un protocolo para intercambiar información de enrutamiento con sistemas autónomos en todo el mundo.

389 | LDAP | Protocolo ligero de acceso a directorios. Servicios de autenticación y autorización agnósticos del sistema.

443 | HTTPS | Protocolo de transferencia de hipertexto seguro. Una extensión de HTTP que utiliza SSL/TLS para cifrar las comunicaciones.

445 | SMB | Bloque de mensajes del servidor. SMB permite compartir servicios, archivos, puertos de red e impresoras entre hosts.