domingo, 11 de enero de 2026

Cómo capturar tráfico de red en macOS con tcpdump (por tiempo o paquetes)

 TERMINAL MAC

Cómo capturar tráfico de red en macOS con tcpdump (por tiempo o paquetes)

tcpdump es una herramienta incluida en macOS que permite capturar y analizar tráfico de red en tiempo real. Es ideal para diagnóstico, auditoría y aprendizaje.

  • ✔️ Capturar tráfico HTTP y HTTPS
  • ✔️ Limitar la captura por tiempo (ej. 5 segundos)
  • ✔️ Limitarla por número de paquetes
  • ✔️ Guardar un archivo .pcap para analizarlo con Wireshark

1️⃣ Identificar la interfaz de red

Antes de capturar tráfico, identifica la interfaz activa:

route -n get default

La línea importante es interface: en0 (puede variar según el Mac). Usa esa interfaz en los comandos de tcpdump.

2️⃣ Capturar tráfico HTTP y HTTPS

Para capturar tráfico web (HTTP + HTTPS):

sudo tcpdump -i en0 'port 80 or port 443'
🔐 El tráfico HTTPS va cifrado. Podrás ver IPs, dominios (a veces), puertos y volumen de tráfico, pero no el contenido.

3️⃣ Capturar DNS + HTTPS (para correlacionar dominios)

Si capturas DNS y HTTPS a la vez, podrás relacionar consultas DNS con conexiones TLS. 

sudo tcpdump -i en0 'port 53 or port 443'

4️⃣ Capturar tráfico durante un tiempo concreto (ej. 5 segundos)

macOS no incluye timeout por defecto, pero puedes hacerlo con sleep y kill guardando la captura en un archivo. 

sudo tcpdump -i en0 -w ~/Desktop/captura_5s.pcap 'port 53 or port 443' &
PID=$!
sleep 5
sudo kill $PID

El archivo se guardará en el Escritorio como captura_5s.pcap.

5️⃣ Capturar tráfico por número de paquetes

Si prefieres limitar la captura por cantidad de paquetes: 

sudo tcpdump -i en0 'port 53 or port 443' -c 200

La captura se detiene automáticamente al alcanzar el límite.

6️⃣ Analizar la captura con Wireshark

Una vez tengas el archivo .pcap en el Escritorio, puedes analizarlo con Wireshark, una herramienta gratuita y de código abierto utilizada por administradores de red y profesionales de seguridad.

🔓 Wireshark es completamente gratuito y está disponible para macOS, Windows y Linux.

👉 Descarga oficial:
https://www.wireshark.org/download.html

✅ Abrir el archivo

  1. Abre Wireshark.
  2. Ve a File → Open.
  3. Selecciona captura_5s.pcap.

🔎 Filtros útiles (Display Filters)

Ver solo tráfico HTTPS (TLS/443):

tcp.port == 443

Ver solo consultas DNS:

dns

Ver dominios consultados por DNS:

dns.qry.name

Ver tráfico HTTP (si existe tráfico sin cifrar):

http

📊 Vistas recomendadas

  • Statistics → Conversations: quién habla con quién (IP y puertos).
  • Statistics → Protocol Hierarchy: distribución de protocolos.
  • Statistics → Endpoints: listado de IPs implicadas.
🔐 Aunque captures tráfico HTTPS, el contenido va cifrado. Wireshark permite analizar IPs, tiempos, puertos, volúmenes y correlacionarlos con consultas DNS.

Conclusión

Con tcpdump puedes capturar tráfico en macOS de forma precisa: por interfaz, por puertos, por tiempo o por paquetes, y luego analizarlo con Wireshark.

  • ✔️ Diagnóstico de red
  • ✔️ Auditoría de conexiones
  • ✔️ Identificación de dominios vía DNS
  • ✔️ Análisis posterior con .pcap
Publicado por en
Etiquetas: , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)