tcpdump: capturar tráfico simultáneamente en todas las interfaces

tcpdump permite capturar tráfico simultáneamente en todas las interfaces de red.

Los escenarios posibles donde resulta  útil esta funcionalidad son aquellos en los que el tráfico de red es balanceado, asimétrico… Esto es, balanceadores de carga, firewalls, routers con múltiples wan’s, agregación de puertos como portchannels o LACP’s y un largo etcétera.

La tabla de rutas nos puede ayudar a localizar la interfaz sobre la que necesitamos realizar un tcpdump si queremos ser específicos, pero también podemos capturar o escuchar en todas las interfaces a la vez.

Realizar capturas de tráfico es muchas veces esencial para resolver problemas de red.

El flag “any” indicará a tcpdump que escuche en todas las interfaces.

Si quisiéramos guardar el resultado en un pcap, añadiríamos los flags -s0 -w <ruta del fichero>

En el siguiente ejemplo, escuchamos el tráfico del host 10.55.88.24 en todas las interfaces:

 xavi@mushu [~]# tcpdump -ni any host 10.55.88.24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
11:19:29.802862 IP 10.55.88.24 > 172.31.31.31: ICMP echo request, id 49739, seq 1, length 64
11:19:29.802949 IP 172.31.31.31 > 10.55.88.24: ICMP echo reply, id 49739, seq 1, length 64
11:19:30.803375 IP 10.55.88.24 > 172.31.31.31: ICMP echo request, id 49739, seq 2, length 64
11:19:30.803435 IP 172.31.31.31 > 10.55.88.24: ICMP echo reply, id 49739, seq 2, length 64

root@mushu [~]# tcpdump -ni any host 8.8.8.8 -s0 -w /tmp/captura-google-dns.pcap
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
9 packets captured
14 packets received by filter
0 packets dropped by kernel

root@mushu [~]# ifconfig 
eth0      Link encap:Ethernet  HWaddr 00:1d:07:21:37:33  
          inet addr:10.99.23.15  Bcast:10.99.23.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:51554066 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2484796 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3227283281 (3.0 GiB)  TX bytes:482400656 (460.0 MiB)
          Interrupt:169 Memory:f4000000-f4011100 

eth1      Link encap:Ethernet  HWaddr 00:1d:07:21:d7:42  
          inet addr:10.55.1.1  Bcast:10.55.1.0  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:248778046 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6423435 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:442897956 (422.3 MiB)  TX bytes:492 (492.0 B)
          Interrupt:169 Memory:f8000000-f8011100 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:356528 errors:0 dropped:0 overruns:0 frame:0
          TX packets:356528 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:48645139 (46.3 MiB)  TX bytes:48645139 (46.3 MiB)

 

Posted on 11/06/2013 by . This entry was posted in Firewall, linux, port-channel and tagged , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *