En los Edgerouter podemos capturar trafico el cual nos puede ayudar a investigar problemas de red a fondo, a continuación describiré la herramienta que trae instalada la cual se puede utilizar en modo gráfico o modo consola.

La herramienta que traen instalada los Edgerouter se llama Tcpdump.

¿Que es Tcpdump?

Tcpdump es una herramienta utilizada mediante líneas de comandos que permite el análisis del tráfico que circula en la red. La misma captura en tiempo real los paquetes enviados y recibidos por el ordenador conectado.

¿Cual es su funcionamiento?

Tcpdump diagnostica las redes TCP/IP y su resultado final o salida del comando los presenta en formato legible, comúnmente denominado sniffer. No es intrínsecamente peligroso, y es de gran utilidad para los administradores de redes que necesiten ver el tráfico para poder buscar problemas en una red. Soporta operadores booleanos de búsqueda y puede utilizar nombres de host, direcciones IP, nombres de red, y protocolos como argumentos.

El usuario puede aplicar varios filtros para que sea más depurada la salida. Un filtro es una expresión que va detrás de las opciones y que nos permite seleccionar los paquetes que estamos buscando. En ausencia de ésta, el tcpdump volcará todo el tráfico que vea el adaptador de red seleccionado.

¿En donde puedo aplicarlo?

  • Para depurar aplicaciones que utilizan la red para comunicar.
  • Para depurar la red misma.
  • Para capturar y leer datos enviados por otros usuarios u ordenadores. Algunos protocolos como telnet y HTTP no cifran los datos que envían en la red. Un usuario que tiene el control de un router a través del cual circula tráfico no cifrado puede usar tcpdump para conseguir contraseñas u otras informaciones.


Para ejecutar una captura de paquetes en una interfaz Ethernet o de túnel, simplemente ejecute el siguiente comando en el CLI:

Algunos parámetros rápidos que podemos ocupar con Tcpdump:

  • -i   Especifica la interfaz en la que se hará la captura
  • -n   No resolver direcciones a nombres.
  • -c    Cantidad de paquetes a capturar.
  • -w    Escribe la salida al archivo.
  • udp/tcp/icmp   Especifica el protocolo de captura.
  • src/dst   Especifica si se captura tráfico de origen o destino.
  • port   Filtra paquetes que contenga conexiones a tal puerto
  • not port    Excluye paquetes que contengan conexión a puerto seleccionado

Ejemplo 1: En el siguiente comando vamos a capturar trafico sobre la interfaz eth0 con protocolo tcp y con destino hacia el puerto 22

sudo tcpdump -i eth0 -n tcp dst port 22

Ejemplo 2: En el siguiente comando se captura trafico sobre la interfaz eth0 con protocolo udp con destino al puerto 500 y 4500

sudo tcpdump -i eth0 -n udp dst port 500 or port 4500

Ejemplo 3: En este ejemplo el siguiente comando es para capturar el trafico sobre una interfaz de tunel con filtro de protocolo ICMP y se capturan solo 10 paquetes y se especifica que la captura de paquete sea guardada en la ubicación /home/ubnt/ con nombre capture.pcap

sudo tcpdump -i tun0 -n icmp -c 10 -w /home/ubnt/capture.pcap


¿Como obtengo la captura de red?

Podemos usar el software WinSCP

Enlace de descarga:

https://winscp.net/eng/download.php


Nos conectamos con la IP nombre de usuario y contraseña del EdgeRouter

Mas informacion sobre la herramienta Tcpdump:

https://www.tcpdump.org/




¿Encontró su respuesta?