Tcpdump es un programa para analizar paquetes de datos en red, el cual se ejecuta bajo una interfaz en linea de comandos. Permite al usuario mostrar paquetes TCP/IP y otros tipos de paquetes siendo transmitidas o recibidas sobre la red, en la cual la computadora está conectada. Tcpdump funciona en la mayoría de sistemas operativos tipo UNIX. Adicionalmente existe una versión para Windows de nombre WinDump.

Las siguientes son algunas de las opciones más comúnmente utilizadas para controlar los resultados generados con Tcpdump.

-c Esta opción únicamente obtiene X número de paquetes.

$ sudo tcpdump -c 20

-w archivo Esta opción escribe los resultados hacia “archivo”. Esto también podría ser realizado por la redirección de Entrada/Salida en la línea de comando. Sin embargo, la opción “-w” permite utilizar varias opciones afectando la manera en la cual los datos son emitidos.

$ sudo tcpdump -w /tmp/captura

-C tamañoarchivo Esta opción es similar a “-c”, excepto es gobernada por el “tamañoarchivo” en millones de bytes, en lugar del número de paquetes. Este parámetro funciona con el parámetro “-w”. Si el número de paquetes hace el archivo sean mayor a “tamañoarchivo”, entonces un nuevo archivo es creado utilizando el nombre en la opción “-w”, con un número iniciando con 1, e incrementándose hacia arriba.

$ sudo tcpdump -C 1 -w /tmp/captura2

-G segundos_rotar Esta opción rota el archivo de volcado especificado con la opción “-w” cada “segundos_rotar” segundos. Los archivos guardados tendrán el nombre especificado con “-w”, el cual incluye el formato del tiempo definido por strtime. Sino se especifica el formato del tiempo, cada nuevo archivo sobrescribirá el anterior. Si es utilizado en conjunción con la opción “-C”, los nombres del archivo serán tomarán la forma de “archivo(cuenta)”

$ sudo tcpdump -G 30 -w /tmp/captura3

-W Esta opción, cuando es utilizado con la opción “-C”, limitará el número de archivos, e iniciará a sobrescribir archivos desde el principio, creando un buffer “rotativo”. Cuando se utiliza en conjunción con la opción “-G”, limitará el número de archivos volcados rotados a crearse, saliendo cuando se alcance el límite.

$ sudo tcpdump -W 3 -C 2 -w /tmp/captura4

Fuentes:

https://www.tcpdump.org/