Tcpdump basics
Zur Navigation springen
Zur Suche springen
Was ist tcpdump
tcpdump ist ein Werkzeug zur Paketaufzeichnung und Analyse auf der Kommandozeile. Die folgenden Beispiele zeigen die wichtigsten Optionen und Filter in kompakter Form. Interface: enp0s3
Grundlegende Optionen
- -i enp0s3 → Interface festlegen
- -n → keine Namensauflösung (schneller)
- -w datei.pcap → Mitschnitt in Datei schreiben
- -r datei.pcap → Mitschnitt aus Datei lesen
Beispiel: einfacher Mitschnitt
- tcpdump -i enp0s3 -n
Filter nach Host
Nur Verkehr von/zu einer bestimmten IP-Adresse aufzeichnen:
- tcpdump -i enp0s3 -n host 10.0.10.104
Nur eingehender Verkehr von einem Host:
- tcpdump -i enp0s3 -n src host 10.0.10.104
Nur ausgehender Verkehr zu einem Host:
- tcpdump -i enp0s3 -n dst host 10.0.10.104
Filter nach Port
Verkehr auf TCP-Port 80 (HTTP):
- tcpdump -i enp0s3 -n port 80
Nur TCP-Pakete auf Port 443:
- tcpdump -i enp0s3 -n tcp port 443
Nur UDP-Pakete auf Port 53 (DNS):
- tcpdump -i enp0s3 -n udp port 53
Filter mit Kombinationen (and / or / not)
HTTP oder HTTPS:
- tcpdump -i enp0s3 -n '(port 80 or port 443)'
Pakete zum Host 10.0.10.104, aber nicht Port 22:
- tcpdump -i enp0s3 -n 'host 10.0.10.104 and not port 22'
ICMP oder TCP:
- tcpdump -i enp0s3 -n '(icmp or tcp)'
ICMP-Filter
Nur ICMP (Ping) aufzeichnen:
- tcpdump -i enp0s3 -n icmp
Nur eingehende Echo Requests:
- tcpdump -i enp0s3 -n 'icmp[icmptype] = icmp-echo'
Mitschnitt in Datei schreiben
- tcpdump -i enp0s3 -n -w capture.pcap
Mitschnitt aus Datei lesen
- tcpdump -r capture.pcap -n
Beispiel: gezielter Mitschnitt
Ping- und HTTP-Verkehr des Hosts 10.0.10.104 mitschneiden und speichern:
- tcpdump -i enp0s3 -n '(icmp or port 80)' and host 10.0.10.104 -w traffic.pcap