tcpdump: mini captura y qué significa cada cosa

Usa las flechas del teclado o los botones para cambiar de tarjeta. En cada tarjeta hay un ejemplo y la explicación corta de los campos.

Esta es una línea realista y “bien típica” de tu salida. La vamos a partir en piezas.

00:25:42.325145 lo In IP 192.168.0.244.55704 > 192.168.0.244.30030: Flags [S], seq 3550380107, win 65495, options [mss 65495,sackOK,TS val 3918732 ecr 0,nop,wscale 7], length 0

Qué estás viendo

Una “foto” de un paquete TCP. Varias líneas seguidas cuentan la historia de una conexión: inicio, datos y cierre.

Cómo leerlo

Primero identifica tiempo e interfaz, luego origen/destino, después banderas (qué evento es), y al final tamaño/ventana/opciones.

Primera parte: cuándo y por dónde se vio el paquete.

00:25:42.325145 lo In IP 192.168.0.244.55704 > 192.168.0.244.30030: Flags [S], seq 3550380107, win 65495, options [...], length 0

00:25:42.325145

Marca de tiempo con microsegundos: el momento exacto de captura.

lo y In

lo es loopback (tráfico del mismo equipo). In significa “entrante” a la pila de red.

Segunda parte: quién habla con quién (IP y puertos).

00:25:42.325145 lo In IP 192.168.0.244.55704 > 192.168.0.244.30030: Flags [S], seq 3550380107, win 65495, options [...], length 0

55704

Puerto efímero del cliente: se elige al azar para esa conexión.

30030

Puerto del servidor: el servicio “escucha” ahí (por ejemplo tu Flask).

Tercera parte: Flags dicen qué evento TCP está ocurriendo.

... Flags [S], seq 3550380107, win 65495, options [...], length 0

[S] (SYN)

El cliente inicia conexión. Es el “quiero conectarme”.

[S.] / [.]

[S.] es SYN+ACK (acepto). [.] es ACK (confirmo). Juntos forman el inicio en 3 pasos.

[P.]

Hay datos reales para la aplicación (por eso suele venir con length > 0).

[F.] / [R.]

[F.] cierra ordenado. [R.] es reset: cierre brusco (socket cerrado “a la fuerza” o estado inválido).

Cuarta parte: seq y ack son el conteo de bytes para fiabilidad.

... Flags [P.], seq 1:226, ack 1, win 512, options [...], length 225

seq 1:226

“Estoy enviando bytes del 1 al 225”. El rango indica cuántos datos van en ese paquete.

ack 226

“Ya recibí todo hasta el 225; el siguiente que espero es el 226”. Es el acuse de recibido.

Quinta parte: tamaño, ventana y opciones. Esto explica “cuánto puedo recibir” y optimizaciones.

... win 65495, options [mss 65495,sackOK,TS val 3918732 ecr 0,wscale 7], length 0

win / wscale

win es la ventana (control de flujo). wscale la amplía para permitir ventanas grandes.

mss / sackOK / TS

mss limita tamaño por segmento. sackOK mejora recuperación. TS ayuda a medir RTT y evitar segmentos viejos.

length 0

Paquete de control (SYN/ACK/FIN). Si length es mayor que 0, hay datos (HTTP, etc.).

Regla rápida

P. suele venir con length > 0. S, ., F normalmente tienen length 0.

Ahora la historia completa en 3 bloques: inicio, datos, cierre.

1) [S] cliente → servidor 2) [S.] servidor → cliente 3) [.] cliente → servidor

Eso abre la conexión (handshake). Luego ves [P.] para datos y [F.] para cerrar. Si aparece [R.], el cierre fue brusco.

Inicio

S → S. → . confirma que ambos acordaron hablar por TCP.

Cierre

F. es ordenado; R. corta la sesión “de golpe”.

1 / 7