Tcpdump kompakt: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
*[[tcpdump allgemein]] | *[[tcpdump allgemein]] | ||
| − | + | *[[tcpdump filter]] | |
*filtere pakete die die absender oder empfänger ip addresse 192.168.244.1 enthalten | *filtere pakete die die absender oder empfänger ip addresse 192.168.244.1 enthalten | ||
tcpdump -ni eth0 host 192.168.244.1 | tcpdump -ni eth0 host 192.168.244.1 | ||
| Zeile 31: | Zeile 31: | ||
tcpdump -ni lan tcp port 80 | tcpdump -ni lan tcp port 80 | ||
*filtere alle pakete die das syn flag gesetzt haben | *filtere alle pakete die das syn flag gesetzt haben | ||
| + | tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0'=filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 host 192.168.244.1 | ||
| + | =filtere pakete die die absender ip addresse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 src host 192.168.244.1 | ||
| + | =filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 dst host 192.168.244.1 | ||
| + | =filtere icmp pakete==filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 host 192.168.244.1 | ||
| + | =filtere pakete die die absender ip addresse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 src host 192.168.244.1 | ||
| + | =filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 dst host 192.168.244.1 | ||
| + | =filtere icmp pakete= | ||
| + | tcpdump -ni eth0 icmp | ||
| + | =filtere esp pakete= | ||
| + | tcpdump -ni eth1 esp | ||
| + | =filtere nach paketen die den absender oder empfänger port 80 enthalten= | ||
| + | tcpdump -ni eth0 port 80 | ||
| + | =filtere nach paketen die den absender port 80 enthalten= | ||
| + | tcpdump -ni eth0 src port 80 | ||
| + | =filtere nach paketen die den empfänger port 80 enthalten= | ||
| + | tcpdump -ni eth0 dst port 80 | ||
| + | =filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten= | ||
| + | tcpdump -ni eth0 host 192.168.244.12 and port 80 | ||
| + | =filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 host 192.168.244.1 and ! port 22 | ||
| + | =filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 host 192.168.244.1 or icmp | ||
| + | =filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten= | ||
| + | tcpdump -ni eth0 net 192.168.244.0/24 | ||
| + | =filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80= | ||
| + | tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \) | ||
| + | =filtere nach tcp port 80= | ||
| + | tcpdump -ni lan tcp port 80 | ||
| + | =filtere alle pakete die das syn flag gesetzt haben= | ||
| + | tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0' | ||
| + | =filtere alle pakete vom typ echoreply= | ||
| + | tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply'= | ||
| + | =filtere alle pakete, die von oder zu der MAC-Adresse 11:22:33:44:55:66 kommen/gehen= | ||
| + | tcpdump "ether host 11:22:33:44:55:66" | ||
| + | |||
| + | tcpdump -ni eth0 icmp | ||
| + | =filtere esp pakete= | ||
| + | tcpdump -ni eth1 esp | ||
| + | =filtere nach paketen die den absender oder empfänger port 80 enthalten= | ||
| + | tcpdump -ni eth0 port 80 | ||
| + | =filtere nach paketen die den absender port 80 enthalten= | ||
| + | tcpdump -ni eth0 src port 80 | ||
| + | =filtere nach paketen die den empfänger port 80 enthalten= | ||
| + | tcpdump -ni eth0 dst port 80 | ||
| + | =filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten= | ||
| + | tcpdump -ni eth0 host 192.168.244.12 and port 80 | ||
| + | =filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 host 192.168.244.1 and ! port 22 | ||
| + | =filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten= | ||
| + | tcpdump -ni eth0 host 192.168.244.1 or icmp | ||
| + | =filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten= | ||
| + | tcpdump -ni eth0 net 192.168.244.0/24 | ||
| + | =filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80= | ||
| + | tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \) | ||
| + | =filtere nach tcp port 80= | ||
| + | tcpdump -ni lan tcp port 80 | ||
| + | =filtere alle pakete die das syn flag gesetzt haben= | ||
tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0' | tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0' | ||
| + | =filtere alle pakete vom typ echoreply= | ||
| + | tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply'= | ||
| + | =filtere alle pakete, die von oder zu der MAC-Adresse 11:22:33:44:55:66 kommen/gehen= | ||
| + | tcpdump "ether host 11:22:33:44:55:66" | ||
| + | |||
*filtere alle pakete vom typ echoreply | *filtere alle pakete vom typ echoreply | ||
tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply' | tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply' | ||
Version vom 28. Juni 2021, 14:30 Uhr
- tcpdump allgemein
- tcpdump filter
- filtere pakete die die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1
- filtere pakete die die absender ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 src host 192.168.244.1
- filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 dst host 192.168.244.1
- filtere icmp pakete
tcpdump -ni eth0 icmp
- filtere esp pakete
tcpdump -ni eth1 esp
- filtere nach paketen die den absender oder empfänger port 80 enthalten
tcpdump -ni eth0 port 80
- filtere nach paketen die den absender port 80 enthalten
tcpdump -ni eth0 src port 80
- filtere nach paketen die den empfänger port 80 enthalten
tcpdump -ni eth0 dst port 80
- filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten
tcpdump -ni eth0 host 192.168.244.12 and port 80
- filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 and ! port 22
- filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 or icmp
- filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten
tcpdump -ni eth0 net 192.168.244.0/24
- filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80
tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \)
- filtere nach tcp port 80
tcpdump -ni lan tcp port 80
- filtere alle pakete die das syn flag gesetzt haben
tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0'=filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten= tcpdump -ni eth0 host 192.168.244.1
filtere pakete die die absender ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 src host 192.168.244.1
filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 dst host 192.168.244.1
filtere icmp pakete==filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1
filtere pakete die die absender ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 src host 192.168.244.1
filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 dst host 192.168.244.1
filtere icmp pakete
tcpdump -ni eth0 icmp
filtere esp pakete
tcpdump -ni eth1 esp
filtere nach paketen die den absender oder empfänger port 80 enthalten
tcpdump -ni eth0 port 80
filtere nach paketen die den absender port 80 enthalten
tcpdump -ni eth0 src port 80
filtere nach paketen die den empfänger port 80 enthalten
tcpdump -ni eth0 dst port 80
filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten
tcpdump -ni eth0 host 192.168.244.12 and port 80
filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 and ! port 22
filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 or icmp
filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten
tcpdump -ni eth0 net 192.168.244.0/24
filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80
tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \)
filtere nach tcp port 80
tcpdump -ni lan tcp port 80
filtere alle pakete die das syn flag gesetzt haben
tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0'
filtere alle pakete vom typ echoreply
tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply'=
filtere alle pakete, die von oder zu der MAC-Adresse 11:22:33:44:55:66 kommen/gehen
tcpdump "ether host 11:22:33:44:55:66"
tcpdump -ni eth0 icmp
filtere esp pakete
tcpdump -ni eth1 esp
filtere nach paketen die den absender oder empfänger port 80 enthalten
tcpdump -ni eth0 port 80
filtere nach paketen die den absender port 80 enthalten
tcpdump -ni eth0 src port 80
filtere nach paketen die den empfänger port 80 enthalten
tcpdump -ni eth0 dst port 80
filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten
tcpdump -ni eth0 host 192.168.244.12 and port 80
filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 and ! port 22
filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 or icmp
filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten
tcpdump -ni eth0 net 192.168.244.0/24
filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80
tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \)
filtere nach tcp port 80
tcpdump -ni lan tcp port 80
filtere alle pakete die das syn flag gesetzt haben
tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0'
filtere alle pakete vom typ echoreply
tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply'=
filtere alle pakete, die von oder zu der MAC-Adresse 11:22:33:44:55:66 kommen/gehen
tcpdump "ether host 11:22:33:44:55:66"
- filtere alle pakete vom typ echoreply
tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply'
- filtere alle pakete, die von oder zu der MAC-Adresse 11:22:33:44:55:66 kommen/gehen
tcpdump "ether host 11:22:33:44:55:66"
specials
- pakete grösser 1500 byte
tcpdump -ni lan "ip[2:2] > 1500"
- filtere alle ipv4 pakete
tcpdump -ni eth0 "ip[0:1] & 0xf0 == 64"
- filtere alle pakete deren TTL unter 25
tcpdump -ni eth0 "ip[8:1] < 25"
- filtere alle pakete die das syn flag gesetzt haben
tcpdump -ni eth0 "tcp[13:1] & 2 == 2"
- filtere alle pakete die nur das syn flag gesetzt haben
tcpdump -ni eth0 "tcp[13:1] == 2"