Tcpdump grundlagen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 33: | Zeile 33: | ||
|'''i'''nterface | |'''i'''nterface | ||
|Hört das angegebene Interface ab. | |Hört das angegebene Interface ab. | ||
| − | | | + | |- |
| − | |||
| − | |||
| − | |||
| − | |||
|'''-A''' | |'''-A''' | ||
|'''A'''SCII | |'''A'''SCII | ||
Aktuelle Version vom 10. Mai 2025, 08:55 Uhr
Benutzung
Standartmäßig fängt tcpdump alle Pakete ab die von der niedrigst nummerierten Netzwerkschnittstelle irgendwohin gehen oder empfangen werden mit einer maximalgröße von 96 bytes bis man es mit STRG+C abbricht:
Da tcpdump viel zuviele Pakete aufzeichnet um in Echtzeit etwas damit anfangen zu können muss man es über Optionen steuern.
Optionen
| -s | size | Legt die Maximale Größe der abgefangenen Pakete fest. Empfohlener Wert is 1500 bytes, das entspricht der maximalen Paketgröße eines IP-Pakets |
| -c | count | Bestimmt die Anzahl an Paketen die abgefangen werden sollen |
| -w | write | Speichert die Ausgabe in einer Datei. Da tcpdump eine Menge Daten abfängt, ist es oft ratsam die Daten in einer Datei unterzubringen |
| -r | read | Liest mit tcpdump erstellte Dateien |
| -n | numeric | Versucht nicht IP-Adressen in Hostnamen umzuwandeln, das beschleunigt die Ausgaberate erheblich |
| -t | time | Entfernt den Zeitstempel am Anfang jedes Pakets. Steigert die Übersichtlichkeit fals man nicht an Zeitstempeln interessiert ist |
| -i | interface | Hört das angegebene Interface ab. |
| -A | ASCII | Zeigt die Pakete ohne ihre Header in ASCII an |
| -D | Devices | Zeigt eine Liste der Netwerkschnittstellen an auf denen tcpdump laufen könnte |
| -e | ethernet | Zeigt den Ethernet Header jedes Pakets an |
| -i | interface | Tcpdump benutzt das angegebene Interface ( -i eth0 ) |
| -p | promiscuous | Tcpdump fängt nur Pakete ab die auch für den Rechner bestimmt sind |
| -q | quick | Zeigt weniger Protokoll-Informationen |
| -v | verbose | Zeigt mehr Informationen an, steigerbar bis -vvv |
Filter
Da man jetzt immernoch mit allen Pakete die in unserer Netzwerkkarte so ankommen zu kämpfen hat, hat man unter vielen anderen folgende Filter-Optionen zur Hand:
Optionen
| Filter | Match |
|---|---|
| host IP | IP-Adresse |
| port PORT | Port-Nummer |
| net NET/CIDR | Netz und Netznummer in CIDR Schreibweise |
| src (host IP|port PORT|net NET/CIDR) | Quellen IP-Adresse, Port-Nummer oder Netz |
| dst (host IP|port PORT|net NET/CIDR) | Ziel IP-Adresse,Port-Nummer oder Netz |
| ! oder not | Negation |
| && oder and | Und Verknüpfung |
| || oder or | Oder Verknüpfung |