Día 6 NETWORKING BÁSICO (7 DÍAS)
Inspección de red: tcpdump, Wireshark y captura básica de paquetes
(lo justo y necesario para técnicos de sistemas y DevOps)
1. Objetivo del día
Hoy aprenderás:
- qué es una captura de paquetes y cuándo se usa
- cómo capturar tráfico con tcpdump sin romper nada
- cómo filtrar tráfico por IP, puerto y protocolo
- cómo exportar capturas a Wireshark
- cómo analizar lo básico: TCP handshake, HTTP, DNS, errores…
Con esto podrás diagnosticar problemas que NO se ven con ping, traceroute o netstat.
2. ¿Qué es una captura de paquetes?
Una captura es un registro de todo lo que pasa por una interfaz de red:
- paquetes de entrada
- paquetes de salida
- cabeceras TCP/UDP
- DNS, HTTP, HTTPS (solo cabeceras si está cifrado)
- retransmisiones
- resets (RST)
- handshake fallido
Usa capturas cuando:
- un servicio está “vivo” pero no responde
- hay pérdidas o retransmisiones
- sospechas bloqueo o manipulación del tráfico
- quieres confirmar si llega tráfico desde otro nodo
3. tcpdump — la herramienta estándar en servidores
tcpdump viene instalado en la mayoría de sistemas Linux.
En producción se usa siempre con filtros, nunca capturas “a saco”.
3.1 Ver qué interfaces tienes
ip link
o:
tcpdump -D
3.2 Captura básica de tráfico
sudo tcpdump -i eth0
⚠️ Esto lo muestra en pantalla en tiempo real.
Para detener → Ctrl + C.
3.3 Capturar solo 10 paquetes
sudo tcpdump -i eth0 -c 10
3.4 Capturar tráfico hacia/desde una IP
sudo tcpdump -i eth0 host 8.8.8.8
3.5 Capturar por puerto
sudo tcpdump -i eth0 port 443
TCP solamente:
sudo tcpdump -i eth0 tcp port 22
UDP solamente:
sudo tcpdump -i eth0 udp port 53
3.6 Guardar captura en archivo (para abrir en Wireshark)
sudo tcpdump -i eth0 -w captura.pcap
Esto NO imprime en pantalla, pero guarda un archivo perfecto para análisis posterior.
3.7 Capturar y ver resolución DNS
sudo tcpdump -i eth0 port 53
Verás consultas y respuestas:
A? google.com
A 142.250.185.78
Muy útil para problemas de DNS.
4. Wireshark — análisis visual y profesional
Wireshark es la herramienta estándar de análisis de paquetes a nivel visual.
4.1 Abrir archivo pcap
Menú:
File → Open → captura.pcap
4.2 Aplicar filtros (muy importantes)
Filtros más usados:
| Filtro | Significado |
|---|---|
| ip.addr == 8.8.8.8 | tráfico hacia/desde esa IP |
| tcp.port == 443 | tráfico HTTPS |
| udp.port == 53 | tráfico DNS |
| http | tráfico HTTP |
| tcp.flags.reset == 1 | paquetes RST |
| dns | consultas/respuestas DNS |
4.3 Lo que debes saber interpretar (lo mínimo realista)
✔ Handshake TCP (SYN, SYN-ACK, ACK)
Si solo ves:
SYN → SYN → SYN
sin respuesta → puerto bloqueado o servidor caído.
✔ RST (Reset)
Si ves muchos:
RST, ACK
→ el servidor está rechazando conexiones.
✔ Re-transmisiones
Marcadas como:
[TCP Retransmission]
→ problemas de red o saturación.
✔ DNS lento o fallido
Consultas repetidas sin respuesta.
✔ HTTP codes
200, 301, 403, 500, etc.
5. ¿Cuándo NO debes usar tcpdump?
- En servidores muy ocupados sin filtro (puede generar carga)
- Para capturar tráfico masivo sin necesidad
- En producción sin permiso
Siempre usa filtros: host, port, tcp, udp.
6. Práctica guiada (20–30 minutos)
✔ 1) Captura 20 paquetes en tu interfaz principal
sudo tcpdump -i eth0 -c 20
✔ 2) Captura solo DNS
sudo tcpdump -i eth0 udp port 53 -c 10
✔ 3) Captura HTTP y guárdalo
sudo tcpdump -i eth0 tcp port 80 -w http.pcap
✔ 4) Abre http.pcap en Wireshark
Filtra por:
http
✔ 5) Analiza un handshake TCP fallido
Busca:
- SYN repetidos
- RST
- retransmisiones
✔ 6) Intenta identificar:
- DNS queries
- DNS answers
- un 200 OK en tráfico HTTP
7. Checklist del Día 6
- Sé capturar tráfico con tcpdump
- Sé filtrar por IP, puerto y protocolo
- Sé guardar capturas .pcap
- Sé abrirlas y filtrarlas en Wireshark
- Sé identificar handshake, RST, retransmisiones y DNS
- Sé cuándo NO usar tcpdump
- He hecho la práctica guiada
Si está todo marcado → Networking Día 6 completado ✔
¿Listo para el gran cierre?
🟦 Día 7 – Proyecto final: Diagnóstico completo de red como un profesional
(un guion real con pruebas secuenciales, como en un equipo de soporte o SRE)