Version vom 12. November 2025, 12:25 Uhr

Minimales tcpdump-Skript

tcpdump ist ein Werkzeug zur Paketaufzeichnung und Analyse auf der Kommandozeile. Die folgenden Beispiele zeigen die wichtigsten Optionen und Filter in kompakter Form. Interface: enp0s3

Grundlegende Optionen

-i enp0s3 → Interface festlegen
-n → keine Namensauflösung (schneller)
-w datei.pcap → Mitschnitt in Datei schreiben
-r datei.pcap → Mitschnitt aus Datei lesen

Beispiel: einfacher Mitschnitt

tcpdump -i enp0s3 -n

Filter nach Host

Nur Verkehr von/zu einer bestimmten IP-Adresse aufzeichnen:

tcpdump -i enp0s3 -n host 10.0.10.104

Nur eingehender Verkehr von einem Host:

tcpdump -i enp0s3 -n src host 10.0.10.104

Nur ausgehender Verkehr zu einem Host:

tcpdump -i enp0s3 -n dst host 10.0.10.104

Filter nach Port

Verkehr auf TCP-Port 80 (HTTP):

tcpdump -i enp0s3 -n port 80

Nur TCP-Pakete auf Port 443:

tcpdump -i enp0s3 -n tcp port 443

Nur UDP-Pakete auf Port 53 (DNS):

tcpdump -i enp0s3 -n udp port 53

Filter mit Kombinationen (and / or / not)

HTTP oder HTTPS:

tcpdump -i enp0s3 -n '(port 80 or port 443)'

Pakete zum Host 10.0.10.104, aber nicht Port 22:

tcpdump -i enp0s3 -n 'host 10.0.10.104 and not port 22'

ICMP oder TCP:

tcpdump -i enp0s3 -n '(icmp or tcp)'

ICMP-Filter

Nur ICMP (Ping) aufzeichnen:

tcpdump -i enp0s3 -n icmp

Nur eingehende Echo Requests:

tcpdump -i enp0s3 -n 'icmp[icmptype] = icmp-echo'

Mitschnitt in Datei schreiben

tcpdump -i enp0s3 -n -w capture.pcap

Mitschnitt aus Datei lesen

tcpdump -r capture.pcap -n

Beispiel: gezielter Mitschnitt

Ping- und HTTP-Verkehr des Hosts 10.0.10.104 mitschneiden und speichern:

tcpdump -i enp0s3 -n '(icmp or port 80)' and host 10.0.10.104 -w traffic.pcap

@@ Zeile 1: / Zeile 1: @@
-= Filtere Pakete, die die Absender oder Empfänger IP Addresse 192.168.244.1 enthalten =
+= Minimales tcpdump-Skript =
+tcpdump ist ein Werkzeug zur Paketaufzeichnung und Analyse auf der Kommandozeile.
+Die folgenden Beispiele zeigen die wichtigsten Optionen und Filter in kompakter Form.
+Interface: enp0s3
-* tcpdump -ni eth0 host 192.168.244.1
+== Grundlegende Optionen ==
+*-i enp0s3       → Interface festlegen
+*-n              → keine Namensauflösung (schneller)
+*-w datei.pcap   → Mitschnitt in Datei schreiben
+*-r datei.pcap   → Mitschnitt aus Datei lesen
-= Filtere ICMP Pakete =
+== Beispiel: einfacher Mitschnitt ==
+*tcpdump -i enp0s3 -n
-* tcpdump -ni eth0 icmp
+== Filter nach Host ==
+Nur Verkehr von/zu einer bestimmten IP-Adresse aufzeichnen:
+*tcpdump -i enp0s3 -n host 10.0.10.104
-= Filtere nach Paketen, die den Absender oder Empfänger Port 80 enthalten =
+Nur eingehender Verkehr von einem Host:
+*tcpdump -i enp0s3 -n src host 10.0.10.104
-* tcpdump -ni eth0 port 80
+Nur ausgehender Verkehr zu einem Host:
+*tcpdump -i enp0s3 -n dst host 10.0.10.104
-= Filtere nach Paketen die den Absender oder Empfänger Port 80 und die Absender oder Empfänger IP Addresse 192.168.244.12 enthalten =
+== Filter nach Port ==
+Verkehr auf TCP-Port 80 (HTTP):
+*tcpdump -i enp0s3 -n port 80
-* tcpdump -ni eth0 host 192.168.244.12 and port 80
+Nur TCP-Pakete auf Port 443:
+*tcpdump -i enp0s3 -n tcp port 443
-= Filtere nach Paketen, die nicht den Absender oder Empfänger Port 22 und die Absender oder Empfänger IP Addresse 192.168.244.1 enthalten =
+Nur UDP-Pakete auf Port 53 (DNS):
+*tcpdump -i enp0s3 -n udp port 53
-* tcpdump -ni eth0 host 192.168.244.1 and ! port 22
+== Filter mit Kombinationen (and / or / not) ==
+HTTP oder HTTPS:
+*tcpdump -i enp0s3 -n '(port 80 or port 443)'
-= Filtere nach ICMP Paketen oder die Absender oder Empfänger IP Addresse 192.168.244.1 enthalten =
+Pakete zum Host 10.0.10.104, aber nicht Port 22:
+*tcpdump -i enp0s3 -n 'host 10.0.10.104 and not port 22'
-* tcpdump -ni eth0 host 192.168.244.1 or icmp
+ICMP oder TCP:
+*tcpdump -i enp0s3 -n '(icmp or tcp)'
-= Filtere nach Paketen die die Absender oder Empfänger IP aus dem Netz 192.168.244.0/24 enthalten =
+== ICMP-Filter ==
+Nur ICMP (Ping) aufzeichnen:
+*tcpdump -i enp0s3 -n icmp
-* tcpdump -ni eth0 net 192.168.244.0/24
+Nur eingehende Echo Requests:
+*tcpdump -i enp0s3 -n 'icmp[icmptype] = icmp-echo'
-= Filtere nach Paketen die die Absender oder Empfänger IP aus dem Netz 192.168.244.0/24 und ein ICMP Pakete oder eine Pakete mit Port 80 =
+== Mitschnitt in Datei schreiben ==
+*tcpdump -i enp0s3 -n -w capture.pcap
-* tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \)
+== Mitschnitt aus Datei lesen ==
+*tcpdump -r capture.pcap -n
+== Beispiel: gezielter Mitschnitt ==
+Ping- und HTTP-Verkehr des Hosts 10.0.10.104 mitschneiden und speichern:
+*tcpdump -i enp0s3 -n '(icmp or port 80)' and host 10.0.10.104 -w traffic.pcap

Tcpdump basics: Unterschied zwischen den Versionen