Herramientas de paquetes sin instalar nada
Filtros tcpdump y patrones netcat en hosts bloqueados sin toolkit completo.
El equipo servidor dice no a binarios nuevos. Aun así necesitas ver hacia dónde va el tráfico cuando la app "no alcanza la base de datos."
tcpdump y netcat suelen estar permitidos porque ops los usó primero. Sin binarios nuevos necesitas evidencia para ticket de red. Captura completa llena disco. Filtra pronto. Rota con -C y -W. Limpia después.
tcpdump: captura poco
DNS roto:
tcpdump -i any -n udp port 53 -c 50
SYN hacia la base:
tcpdump -i eth0 -n host db.internal and tcp port 1433 -c 20
Rotación:
tcpdump -i eth0 -w /tmp/cap.pcap -C 50 -W 5 'tcp port 443'
netcat
nc -vz target.host 443
echo "" | nc -w 3 target 25
Revisa nc -h. Builds distintos, flags distintos.
Sin nada instalado
Pide ss o netstat. Socket mínimo en Python o PowerShell si hay intérprete.
Blue team
Menciona captura pasiva en el plan. Borra pcaps tras revisión.
Lee breve en wire si está permitido: tcpdump -i eth0 -n -A 'tcp port 80' -c 10. -A es lento. Diez paquetes, no todo el engagement.
Si no hay nc ni tcpdump, pide ss -tlnp desde cuenta app. Socket mínimo Python o PowerShell. Documenta interfaz y si el servicio escucha solo localhost.
Menciona captura pasiva en plan de test. Borra pcaps tras revisión con blue team.
Herramientas viejas. Por eso sobreviven lockdowns.
nc -h varía por build. Binding solo localhost explica muchos "connection refused". Menciona captura pasiva en plan de test.