Tcpdump basics: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „=filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten= *tcpdump -ni eth0 host 192.168.244.1 =filtere icmp pakete= *tcpdump -ni…“)
 
 
(3 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten=
+
== Was ist tcpdump ==
*tcpdump -ni eth0 host 192.168.244.1
+
tcpdump ist ein Werkzeug zur Paketaufzeichnung und Analyse auf der Kommandozeile. 
=filtere icmp pakete=
+
Die folgenden Beispiele zeigen die wichtigsten Optionen und Filter in kompakter Form.
*tcpdump -ni eth0 icmp
+
Interface: enp0s3
=filtere nach paketen die den absender oder empfänger port 80 enthalten=  
+
 
*tcpdump -ni eth0 port 80
+
== Grundlegende Optionen ==
=filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten=
+
*-i enp0s3      → Interface festlegen 
*tcpdump -ni eth0 host 192.168.244.12 and port 80
+
*-n              → keine Namensauflösung (schneller) 
=filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten=
+
*-w datei.pcap  → Mitschnitt in Datei schreiben 
*tcpdump -ni eth0  host 192.168.244.1 and ! port 22
+
*-r datei.pcap  → Mitschnitt aus Datei lesen 
=filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten=
+
 
*tcpdump -ni eth0  host 192.168.244.1 or  icmp
+
== Beispiel: einfacher Mitschnitt ==
=filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten=
+
*tcpdump -i enp0s3 -n
*tcpdump -ni eth0  net 192.168.244.0/24
+
 
=filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80=
+
== Filter nach Host ==
*tcpdump -ni eth0  net 192.168.244.0/24 and  \( icmp or port 80 \)
+
Nur Verkehr von/zu einer bestimmten IP-Adresse aufzeichnen:
 +
*tcpdump -i enp0s3 -n host 10.0.10.104
 +
 
 +
Nur eingehender Verkehr von einem Host:
 +
*tcpdump -i enp0s3 -n src host 10.0.10.104
 +
 
 +
Nur ausgehender Verkehr zu einem Host:
 +
*tcpdump -i enp0s3 -n dst host 10.0.10.104
 +
 
 +
== Filter nach Port ==
 +
Verkehr auf TCP-Port 80 (HTTP):
 +
*tcpdump -i enp0s3 -n port 80
 +
 
 +
Nur TCP-Pakete auf Port 443:
 +
*tcpdump -i enp0s3 -n tcp port 443
 +
 
 +
Nur UDP-Pakete auf Port 53 (DNS):
 +
*tcpdump -i enp0s3 -n udp port 53
 +
 
 +
== Filter mit Kombinationen (and / or / not) ==
 +
HTTP oder HTTPS:
 +
*tcpdump -i enp0s3 -n '(port 80 or port 443)'
 +
 
 +
Pakete zum Host 10.0.10.104, aber nicht Port 22:
 +
*tcpdump -i enp0s3 -n 'host 10.0.10.104 and not port 22'
 +
 
 +
ICMP oder TCP:
 +
*tcpdump -i enp0s3 -n '(icmp or tcp)'
 +
 
 +
== ICMP-Filter ==
 +
Nur ICMP (Ping) aufzeichnen:
 +
*tcpdump -i enp0s3 -n icmp
 +
 
 +
Nur eingehende Echo Requests:
 +
*tcpdump -i enp0s3 -n 'icmp[icmptype] = icmp-echo'
 +
 
 +
== Mitschnitt in Datei schreiben ==
 +
*tcpdump -i enp0s3 -n -w capture.pcap
 +
 
 +
== Mitschnitt aus Datei lesen ==
 +
*tcpdump -r capture.pcap -n
 +
 
 +
== Beispiel: gezielter Mitschnitt ==
 +
Ping- und HTTP-Verkehr des Hosts 10.0.10.104 mitschneiden und speichern:
 +
*tcpdump -i enp0s3 -n '(icmp or port 80)' and host 10.0.10.104 -w traffic.pcap

Aktuelle Version vom 12. November 2025, 12:30 Uhr

Was ist tcpdump

tcpdump ist ein Werkzeug zur Paketaufzeichnung und Analyse auf der Kommandozeile. Die folgenden Beispiele zeigen die wichtigsten Optionen und Filter in kompakter Form. Interface: enp0s3

Grundlegende Optionen

  • -i enp0s3 → Interface festlegen
  • -n → keine Namensauflösung (schneller)
  • -w datei.pcap → Mitschnitt in Datei schreiben
  • -r datei.pcap → Mitschnitt aus Datei lesen

Beispiel: einfacher Mitschnitt

  • tcpdump -i enp0s3 -n

Filter nach Host

Nur Verkehr von/zu einer bestimmten IP-Adresse aufzeichnen:

  • tcpdump -i enp0s3 -n host 10.0.10.104

Nur eingehender Verkehr von einem Host:

  • tcpdump -i enp0s3 -n src host 10.0.10.104

Nur ausgehender Verkehr zu einem Host:

  • tcpdump -i enp0s3 -n dst host 10.0.10.104

Filter nach Port

Verkehr auf TCP-Port 80 (HTTP):

  • tcpdump -i enp0s3 -n port 80

Nur TCP-Pakete auf Port 443:

  • tcpdump -i enp0s3 -n tcp port 443

Nur UDP-Pakete auf Port 53 (DNS):

  • tcpdump -i enp0s3 -n udp port 53

Filter mit Kombinationen (and / or / not)

HTTP oder HTTPS:

  • tcpdump -i enp0s3 -n '(port 80 or port 443)'

Pakete zum Host 10.0.10.104, aber nicht Port 22:

  • tcpdump -i enp0s3 -n 'host 10.0.10.104 and not port 22'

ICMP oder TCP:

  • tcpdump -i enp0s3 -n '(icmp or tcp)'

ICMP-Filter

Nur ICMP (Ping) aufzeichnen:

  • tcpdump -i enp0s3 -n icmp

Nur eingehende Echo Requests:

  • tcpdump -i enp0s3 -n 'icmp[icmptype] = icmp-echo'

Mitschnitt in Datei schreiben

  • tcpdump -i enp0s3 -n -w capture.pcap

Mitschnitt aus Datei lesen

  • tcpdump -r capture.pcap -n

Beispiel: gezielter Mitschnitt

Ping- und HTTP-Verkehr des Hosts 10.0.10.104 mitschneiden und speichern:

  • tcpdump -i enp0s3 -n '(icmp or port 80)' and host 10.0.10.104 -w traffic.pcap
Abgerufen von „http://wiki.ixheim.de/index.php?title=Tcpdump_basics&oldid=65518