![\"bpf](\"https:\/\/bprot.com\/wp-content\/uploads\/2026\/05\/bpf-1.png\")
<\/figure>El Berkeley Packet Filter<\/strong> es un lenguaje que vive en el n\u00facleo del sistema. Su trabajo es descartar el tr\u00e1fico irrelevante antes de que sature la CPU.<\/p>\n<\/div><\/div>\n\n\n\n Un filtro se compone de identificadores<\/strong> acompa\u00f1ados de estos calificadores:<\/p>\n\n\n\n Type:<\/strong> \u00bfQu\u00e9 es el ID? ( Dir:<\/strong> \u00bfHacia d\u00f3nde va? ( Proto:<\/strong> \u00bfQu\u00e9 protocolo usa? ( Ejemplos de BPF:<\/strong><\/p>\n\n\n\n L\u00f3gica:<\/strong> Mientras que BPF elige los paquetes, las flags<\/strong> modifican c\u00f3mo <\/p>\n\n\n\n Aqu\u00ed es donde ocurre la magia. As\u00ed es como se ve un comando profesional en la terminal:<\/p><\/div>\n\n\n\n A. Diagn\u00f3stico de tr\u00e1fico Web en tiempo real<\/strong><\/p>\n\n\n\n Explicaci\u00f3n:<\/strong> \u00abEscucha en eth0 ( B. Captura silenciosa para analizar en Wireshark<\/strong><\/p>\n\n\n\n Explicaci\u00f3n:<\/strong> \u00abEscucha en todas las interfaces, no resuelvas nombres, captura todo el paquete y gu\u00e1rdalo en un archivo<\/strong> ( C. \u00abCirug\u00eda\u00bb de red: Ver solo inicios de conexi\u00f3n (SYN)<\/strong><\/p>\n\n\n\n Explicaci\u00f3n:<\/strong> Usa BPF avanzado para mirar dentro del byte de las banderas TCP y mostrar solo los intentos de conexi\u00f3n nueva.<\/p>\n<\/div><\/div>\n\n\n\n Si el tr\u00e1fico es muy pesado, usa siempre 1. El Lenguaje BPF (El \u00abFiltro VIP\u00bb) El Berkeley Packet Filter es un lenguaje que vive en el n\u00facleo del sistema. Su trabajo es descartar el tr\u00e1fico irrelevante antes de que sature la CPU. La estructura de un filtro Un filtro se compone de identificadores acompa\u00f1ados de estos calificadores: Type: \u00bfQu\u00e9 es el ID? (host, […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":1214,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1204","page","type-page","status-publish","hentry"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/bprot.com\/en\/wp-json\/wp\/v2\/pages\/1204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bprot.com\/en\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/bprot.com\/en\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/bprot.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bprot.com\/en\/wp-json\/wp\/v2\/comments?post=1204"}],"version-history":[{"count":2,"href":"https:\/\/bprot.com\/en\/wp-json\/wp\/v2\/pages\/1204\/revisions"}],"predecessor-version":[{"id":1213,"href":"https:\/\/bprot.com\/en\/wp-json\/wp\/v2\/pages\/1204\/revisions\/1213"}],"up":[{"embeddable":true,"href":"https:\/\/bprot.com\/en\/wp-json\/wp\/v2\/pages\/1214"}],"wp:attachment":[{"href":"https:\/\/bprot.com\/en\/wp-json\/wp\/v2\/media?parent=1204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}La estructura de un filtro<\/h3>\n\n\n\n
host<\/code>, net<\/code>, port<\/code>).<\/p>\n\n\n\nsrc<\/code>, dst<\/code>).<\/p>\n\n\n\ntcp<\/code>, udp<\/code>, ip<\/code>, icmp<\/code>).<\/p>\n\n\n\nhost 1.1.1.1<\/code> (Solo tr\u00e1fico de esa IP).<\/p>\n\n\n\nsrc net 192.168.1.0\/24<\/code> (Solo tr\u00e1fico originado en esa red).<\/p>\n\n\n\nport 443<\/code> (Solo tr\u00e1fico HTTPS).<\/p>\n\n\n\n(host A or host B) and not port 22<\/code>.<\/p>\n\n\n\n
<\/div>\n\n\n\n2. Las Flags (La \u00abC\u00e1mara y Lente\u00bb)<\/h2>\n\n\n\n
![\"\"](\"https:\/\/bprot.com\/wp-content\/uploads\/2026\/05\/bpf-3.png\")
<\/figure>tcpdump<\/code> captura y muestra esos datos.<\/p>\n<\/div><\/div>\n\n\n\nFlag<\/strong><\/td> Nombre<\/strong><\/td> \u00bfPara qu\u00e9 sirve?<\/strong><\/td><\/tr><\/thead> -i<\/strong><\/code><\/td>Interface<\/td> Elige la tarjeta de red (ej. -i eth0<\/code> o -i any<\/code>).<\/td><\/tr>-n<\/strong><\/code><\/td>No-resolve<\/td> Fundamental.<\/strong> No traduce IPs a nombres. Es mucho m\u00e1s r\u00e1pido.<\/td><\/tr> -s 0<\/strong><\/code><\/td>Snaplen<\/td> Captura el paquete completo (sin recortes). Obligatorio para an\u00e1lisis profundo.<\/td><\/tr> -A<\/strong><\/code><\/td>ASCII<\/td> Muestra el contenido del paquete en texto legible. \u00datil para HTTP\/APIs.<\/td><\/tr> -X<\/strong><\/code><\/td>Hex\/ASCII<\/td> Muestra el contenido en Hexadecimal y Texto. Ideal para protocolos binarios.<\/td><\/tr> -v<\/strong><\/code><\/td>Verbose<\/td> Muestra detalles t\u00e9cnicos extra (TTL, Flags TCP, ID de IP).<\/td><\/tr> -w<\/strong><\/code><\/td>Write<\/td> Guarda la captura en un archivo .pcap<\/code> para abrirlo en Wireshark.<\/td><\/tr>-r<\/strong><\/code><\/td>Read<\/td> Lee un archivo .pcap<\/code> capturado previamente.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
<\/div>\n\n\n\n3. Combin\u00e1ndolo todo (Casos de uso Reales)<\/h2>\n\n\n\n
![\"\"](\"https:\/\/bprot.com\/wp-content\/uploads\/2026\/05\/bpf-4.png\")
<\/figure>tcpdump -ni eth0 -s 0 -A port 80<\/code><\/p>\n\n\n\n-i<\/code>), no resuelvas nombres (-n<\/code>), captura el paquete entero (-s 0<\/code>), mu\u00e9stramelo en texto plano (-A<\/code>) y solo si es del puerto 80 (port 80<\/code>)\u00bb.<\/p>\n<\/div><\/div>\n\n\n\n
<\/div>\n\n\n\n![\"\"](\"https:\/\/bprot.com\/wp-content\/uploads\/2026\/05\/bpf-5.png\")
<\/figure>tcpdump -ni any -s 0 -w captura_red.pcap host 10.0.0.50<\/code><\/p>\n\n\n\n-w<\/code>) filtrando solo lo que toque a la IP 10.0.0.50″.<\/p>\n<\/div><\/div>\n\n\n\n
<\/div>\n\n\n\n![\"\"](\"https:\/\/bprot.com\/wp-content\/uploads\/2026\/05\/bpf-6.png\")
<\/figure>tcpdump -nn 'tcp[tcpflags] & (tcp-syn) != <\/code>0'<\/code><\/p>\n\n\n\n\n
<\/div>\n\n\n\n-n<\/code> y -nn<\/code>. Si no lo haces, el motor \u00a0intentar\u00e1 preguntar al servidor DNS por cada IP que vea, generando m\u00e1s tr\u00e1fico de red y haciendo que la pantalla se congele o vaya con lag.<\/strong><\/p>\n\n\n\n
<\/div>\n","protected":false},"excerpt":{"rendered":"