Tcpdump grundlagen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | |||
| − | |||
=Benutzung= | =Benutzung= | ||
| − | |||
Standartmäßig fängt tcpdump alle Pakete ab die von der niedrigst nummerierten Netzwerkschnittstelle irgendwohin gehen oder empfangen werden mit einer maximalgröße von 96 bytes bis man es mit STRG+C abbricht: | Standartmäßig fängt tcpdump alle Pakete ab die von der niedrigst nummerierten Netzwerkschnittstelle irgendwohin gehen oder empfangen werden mit einer maximalgröße von 96 bytes bis man es mit STRG+C abbricht: | ||
| − | |||
| − | |||
Da tcpdump viel zuviele Pakete aufzeichnet um in Echtzeit etwas damit anfangen zu können muss man es über Optionen steuern. | Da tcpdump viel zuviele Pakete aufzeichnet um in Echtzeit etwas damit anfangen zu können muss man es über Optionen steuern. | ||
| − | == | + | ==Optionen== |
| − | |||
| − | |||
| − | |||
{| Border=1 Cellpadding=2 | {| Border=1 Cellpadding=2 | ||
|'''-s''' | |'''-s''' | ||
| Zeile 41: | Zeile 33: | ||
|'''i'''nterface | |'''i'''nterface | ||
|Hört das angegebene Interface ab. | |Hört das angegebene Interface ab. | ||
| − | | | + | |- |
| − | |||
| − | |||
| − | |||
| − | |||
|'''-A''' | |'''-A''' | ||
|'''A'''SCII | |'''A'''SCII | ||
| Zeile 108: | Zeile 96: | ||
|Oder Verknüpfung | |Oder Verknüpfung | ||
|} | |} | ||
| − | |||
| − | |||
Aktuelle Version vom 10. Mai 2025, 08:55 Uhr
Benutzung
Standartmäßig fängt tcpdump alle Pakete ab die von der niedrigst nummerierten Netzwerkschnittstelle irgendwohin gehen oder empfangen werden mit einer maximalgröße von 96 bytes bis man es mit STRG+C abbricht:
Da tcpdump viel zuviele Pakete aufzeichnet um in Echtzeit etwas damit anfangen zu können muss man es über Optionen steuern.
Optionen
| -s | size | Legt die Maximale Größe der abgefangenen Pakete fest. Empfohlener Wert is 1500 bytes, das entspricht der maximalen Paketgröße eines IP-Pakets |
| -c | count | Bestimmt die Anzahl an Paketen die abgefangen werden sollen |
| -w | write | Speichert die Ausgabe in einer Datei. Da tcpdump eine Menge Daten abfängt, ist es oft ratsam die Daten in einer Datei unterzubringen |
| -r | read | Liest mit tcpdump erstellte Dateien |
| -n | numeric | Versucht nicht IP-Adressen in Hostnamen umzuwandeln, das beschleunigt die Ausgaberate erheblich |
| -t | time | Entfernt den Zeitstempel am Anfang jedes Pakets. Steigert die Übersichtlichkeit fals man nicht an Zeitstempeln interessiert ist |
| -i | interface | Hört das angegebene Interface ab. |
| -A | ASCII | Zeigt die Pakete ohne ihre Header in ASCII an |
| -D | Devices | Zeigt eine Liste der Netwerkschnittstellen an auf denen tcpdump laufen könnte |
| -e | ethernet | Zeigt den Ethernet Header jedes Pakets an |
| -i | interface | Tcpdump benutzt das angegebene Interface ( -i eth0 ) |
| -p | promiscuous | Tcpdump fängt nur Pakete ab die auch für den Rechner bestimmt sind |
| -q | quick | Zeigt weniger Protokoll-Informationen |
| -v | verbose | Zeigt mehr Informationen an, steigerbar bis -vvv |
Filter
Da man jetzt immernoch mit allen Pakete die in unserer Netzwerkkarte so ankommen zu kämpfen hat, hat man unter vielen anderen folgende Filter-Optionen zur Hand:
Optionen
| Filter | Match |
|---|---|
| host IP | IP-Adresse |
| port PORT | Port-Nummer |
| net NET/CIDR | Netz und Netznummer in CIDR Schreibweise |
| src (host IP|port PORT|net NET/CIDR) | Quellen IP-Adresse, Port-Nummer oder Netz |
| dst (host IP|port PORT|net NET/CIDR) | Ziel IP-Adresse,Port-Nummer oder Netz |
| ! oder not | Negation |
| && oder and | Und Verknüpfung |
| || oder or | Oder Verknüpfung |