Tcpdump basics: Unterschied zwischen den Versionen

Was ist tcpdump

tcpdump ist ein Werkzeug zur Paketaufzeichnung und Analyse auf der Kommandozeile. Die folgenden Beispiele zeigen die wichtigsten Optionen und Filter in kompakter Form. Interface: enp0s3

Grundlegende Optionen

• -i enp0s3 → Interface festlegen
• -n → keine Namensauflösung (schneller)
• -w datei.pcap → Mitschnitt in Datei schreiben
• -r datei.pcap → Mitschnitt aus Datei lesen

Beispiel: einfacher Mitschnitt

• tcpdump -i enp0s3 -n

Filter nach Host

Nur Verkehr von/zu einer bestimmten IP-Adresse aufzeichnen:

• tcpdump -i enp0s3 -n host 10.0.10.104

Nur eingehender Verkehr von einem Host:

• tcpdump -i enp0s3 -n src host 10.0.10.104

Nur ausgehender Verkehr zu einem Host:

• tcpdump -i enp0s3 -n dst host 10.0.10.104

Filter nach Port

Verkehr auf TCP-Port 80 (HTTP):

• tcpdump -i enp0s3 -n port 80

Nur TCP-Pakete auf Port 443:

• tcpdump -i enp0s3 -n tcp port 443

Nur UDP-Pakete auf Port 53 (DNS):

• tcpdump -i enp0s3 -n udp port 53

Filter mit Kombinationen (and / or / not)

HTTP oder HTTPS:

• tcpdump -i enp0s3 -n '(port 80 or port 443)'

Pakete zum Host 10.0.10.104, aber nicht Port 22:

• tcpdump -i enp0s3 -n 'host 10.0.10.104 and not port 22'

ICMP oder TCP:

• tcpdump -i enp0s3 -n '(icmp or tcp)'

ICMP-Filter

Nur ICMP (Ping) aufzeichnen:

• tcpdump -i enp0s3 -n icmp

Nur eingehende Echo Requests:

• tcpdump -i enp0s3 -n 'icmp[icmptype] = icmp-echo'

Mitschnitt in Datei schreiben

• tcpdump -i enp0s3 -n -w capture.pcap

Mitschnitt aus Datei lesen

• tcpdump -r capture.pcap -n

Beispiel: gezielter Mitschnitt

Ping- und HTTP-Verkehr des Hosts 10.0.10.104 mitschneiden und speichern:

• tcpdump -i enp0s3 -n '(icmp or port 80)' and host 10.0.10.104 -w traffic.pcap