Tcpdump filter: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „=filter= =filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten= *tcpdump -ni eth0 host 192.168.244.1 =filtere pakete die die ab…“)
 
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 1: Zeile 1:
=filter=
+
 
 +
==Filter==
 +
 
 +
Da man jetzt immernoch mit allen Pakete die in unserer Netzwerkkarte so ankommen zu kämpfen hat, hat man unter  vielen anderen folgende Filter-Optionen zur Hand:
 +
 
 +
==Optionen==
 +
{| border=1 cellpadding=2
 +
!Filter
 +
!Match
 +
|-
 +
|host IP
 +
|IP-Adresse
 +
|-
 +
|port PORT
 +
|Port-Nummer
 +
|-
 +
|net NET/CIDR
 +
|Netz und Netznummer in CIDR Schreibweise
 +
|-
 +
|src <nowiki>(host IP|port PORT|net NET/CIDR)</nowiki>
 +
|Quellen IP-Adresse, Port-Nummer oder Netz
 +
|-
 +
|dst <nowiki>(host IP|port PORT|net NET/CIDR)</nowiki>
 +
|Ziel IP-Adresse,Port-Nummer oder Netz
 +
|-
 +
|! oder not
 +
|Negation
 +
|-
 +
|&& oder and
 +
|Und Verknüpfung
 +
|-
 +
|<nowiki>||</nowiki> oder or
 +
|Oder Verknüpfung
 +
|}
 +
 
 
=filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten=
 
=filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten=
 
*tcpdump -ni eth0 host 192.168.244.1
 
*tcpdump -ni eth0 host 192.168.244.1

Aktuelle Version vom 10. Oktober 2022, 10:48 Uhr

Filter

Da man jetzt immernoch mit allen Pakete die in unserer Netzwerkkarte so ankommen zu kämpfen hat, hat man unter vielen anderen folgende Filter-Optionen zur Hand:

Optionen

Filter Match
host IP IP-Adresse
port PORT Port-Nummer
net NET/CIDR Netz und Netznummer in CIDR Schreibweise
src (host IP|port PORT|net NET/CIDR) Quellen IP-Adresse, Port-Nummer oder Netz
dst (host IP|port PORT|net NET/CIDR) Ziel IP-Adresse,Port-Nummer oder Netz
! oder not Negation
&& oder and Und Verknüpfung
|| oder or Oder Verknüpfung

filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten

  • tcpdump -ni eth0 host 192.168.244.1

filtere pakete die die absender ip addresse 192.168.244.1 enthalten

  • tcpdump -ni eth0 src host 192.168.244.1

filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten

  • tcpdump -ni eth0 dst host 192.168.244.1

filtere icmp pakete

  • tcpdump -ni eth0 icmp

filtere esp pakete

  • tcpdump -ni eth1 esp

filtere nach paketen die den absender oder empfänger port 80 enthalten

  • tcpdump -ni eth0 port 80

filtere nach paketen die den absender port 80 enthalten

  • tcpdump -ni eth0 src port 80

filtere nach paketen die den empfänger port 80 enthalten

  • tcpdump -ni eth0 dst port 80

filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten

  • tcpdump -ni eth0 host 192.168.244.12 and port 80

filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten

  • tcpdump -ni eth0 host 192.168.244.1 and ! port 22

filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten

  • tcpdump -ni eth0 host 192.168.244.1 or icmp

filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten

  • tcpdump -ni eth0 net 192.168.244.0/24

filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80

  • tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \)

filtere nach tcp port 80

  • tcpdump -ni lan tcp port 80

filtere alle pakete die das syn flag gesetzt haben

  • tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0'

filtere alle pakete vom typ echoreply

  • tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply'=

filtere alle pakete, die von oder zu der MAC-Adresse 11:22:33:44:55:66 kommen/gehen

  • tcpdump "ether host 11:22:33:44:55:66"
Abgerufen von „http://wiki.ixheim.de/index.php?title=Tcpdump_filter&oldid=37035