Tcpdump es un poderoso analizador de paquete en linea de comando; y libpcap una librería portable C/C++ para realizar captura de tráfico de red. Tcpdump imprime una descripción del contenido de los paquetes en una interfaz de red, coincidentes con una expresión Booleana.

Aunque el número de trucos con Tcpdump resultaría ingente y demandaría muchas publicaciones, existen algunas opciones las cuales pueden ser particularmente útiles en apoyo al proceso forense de redes y de investigación.

-r Lee paquetes de datos desde un archivo pcap existente, en lugar de una interfaz de red en vivo.

-w Escribe paquetes coincidentes con un BPF proporcionado hacia un archivo pcap en lugar de la pantalla.

-i Especifica la interfaz desde el cual capturar tráfico. Puede ser el nombre especifico de una interfaz como “venet0”, “enp0s3”, o “en1”, o la pseudo interfaz “any” para de manera simultanea capturar desde todas las interfaces disponibles en plataformas soportándola.

-n Previene cualquier resolución DNS. Sin esto, Tcpdump podría realizar una consulta DNS para cada dirección IP observada. Esto es indeseable por muchas razones. Esto añade una significativa cantidad de tráfico de red en el entorno, causando retrasos en el procesamiento y almacenamiento de paquetes. También se tiene el riesgo de alertar un ciberatacantes bajo investigación (o al menos capturar) su tráfico, un suceso preocupante. La opción “-n” es automática cuando se utiliza Tcpdump.

-C Cuando se utiliza con la opción “-w” para escribir paquetes de datos hacia un archivo en lugar de mostrar datos en la consola, esta opción crea un archivo pcap después de alcanzar un tamaño especifico (en megabytes).

-G Similar a la opción “-C”, pero rota el archivo después de un número especifico de segundos; por ejemplo “-G 86400” podría rotar diariamente. Sin embargo esta opción requiere un nombre de archivo especialmente formateado, utilizando marcadores para posición de cadena de formato compatibles con strftime(3). Por ejemplo un nombre de de archivo de salida “output_%F.%T.pcap” resultará en nombres de archivo como “outfile_2024-07-22.12:27:34.pcap”, con el tiempo representando el tiempo de inicio para cada archivo creado. Precaución. Utilizar un nombre de archivo sin cadena de formato resultará en un archivo de salida continuamente siendo sobrescrito.

-W Cuando es utilizado con “-w” y ya sea “-C” o -G“, únicamente el número especifico de archivo serán mantenidas. Con “-C” esto resultará en una secuencia rotativa de un número de archivos solicitado. Con “-G”, tcpdump creará el número solicitado de archivos y luego finalizará.

-F En lugar de especificar el BPF en linea de comando, se carga desde un archivo. Particularmente útil cuando se trabaja con BPFs complejos o comparte BPFs entre un equipo. Por ejemplo es posible se desee conservar el BPF preferido del equipo en un repositorio git para asegurarse todos estén usando los correctos.

Fuentes:

https://www.tcpdump.org/
https://www.tcpdump.org/manpages/tcpdump.1.html