Tcpdump Tutorial: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 110: | Zeile 110: | ||
|Oder Verknüpfung | |Oder Verknüpfung | ||
|} | |} | ||
| − | |||
=Grundlegende Syntax= | =Grundlegende Syntax= | ||
==Syntaxaufbau== | ==Syntaxaufbau== | ||
| − | Die allgemeine Syntax besteht aus Optionen und einem Filterausdruck. | + | *Die allgemeine Syntax besteht aus Optionen und einem Filterausdruck. |
| − | + | tcpdump [optionen] [ausdruck] | |
==Funktion von Optionen== | ==Funktion von Optionen== | ||
| − | Optionen steuern das Verhalten von tcpdump, z. B. Interface-Auswahl oder Ausgabeformat. | + | *Optionen steuern das Verhalten von tcpdump, z. B. Interface-Auswahl oder Ausgabeformat. |
==Funktion von Ausdrücken== | ==Funktion von Ausdrücken== | ||
| − | Ein Ausdruck bestimmt, welche Art von Verkehr erfasst wird – über Hostnamen, IPs, Ports, Protokolle usw. | + | *Ein Ausdruck bestimmt, welche Art von Verkehr erfasst wird – über Hostnamen, IPs, Ports, Protokolle usw. |
=Verkehr auf einem Interface erfassen= | =Verkehr auf einem Interface erfassen= | ||
==Verkehr auf enp0s3 erfassen== | ==Verkehr auf enp0s3 erfassen== | ||
| − | Erfasst den gesamten Netzwerkverkehr auf dem Interface enp0s3. | + | *Erfasst den gesamten Netzwerkverkehr auf dem Interface enp0s3. |
| − | + | tcpdump -i enp0s3 | |
==Verfügbare Schnittstellen anzeigen== | ==Verfügbare Schnittstellen anzeigen== | ||
| − | Listet alle verfügbaren Netzwerkinterfaces auf. | + | *Listet alle verfügbaren Netzwerkinterfaces auf. |
| − | + | tcpdump -D | |
=Verkehr zu/von einem Host erfassen= | =Verkehr zu/von einem Host erfassen= | ||
==Verkehr zu oder von 192.168.1.100 erfassen== | ==Verkehr zu oder von 192.168.1.100 erfassen== | ||
| − | Erfasst alle Pakete zwischen dem lokalen System und 192.168.1.100. | + | *Erfasst alle Pakete zwischen dem lokalen System und 192.168.1.100. |
| − | + | tcpdump -i enp0s3 host 192.168.1.100 | |
==Verkehr zu oder von example.com erfassen== | ==Verkehr zu oder von example.com erfassen== | ||
| − | Zeigt den gesamten Verkehr mit example.com. | + | *Zeigt den gesamten Verkehr mit example.com. |
| − | + | tcpdump -i enp0s3 host example.com | |
=Verkehr auf einem Port erfassen= | =Verkehr auf einem Port erfassen= | ||
==HTTP-Verkehr erfassen== | ==HTTP-Verkehr erfassen== | ||
| − | Erfasst Verkehr über Port 80. | + | *Erfasst Verkehr über Port 80. |
| − | + | tcpdump -i enp0s3 port 80 | |
==HTTPS-Verkehr erfassen== | ==HTTPS-Verkehr erfassen== | ||
| − | Erfasst Verkehr über Port 443. | + | *Erfasst Verkehr über Port 443. |
| − | + | tcpdump -i enp0s3 port 443 | |
==SSH-Verkehr erfassen== | ==SSH-Verkehr erfassen== | ||
| − | Erfasst Verkehr über Port 22. | + | *Erfasst Verkehr über Port 22. |
| − | + | tcpdump -i enp0s3 port 22 | |
==FTP-Verkehr erfassen== | ==FTP-Verkehr erfassen== | ||
| − | Erfasst Verkehr über Port 21. | + | *Erfasst Verkehr über Port 21. |
| − | + | tcpdump -i enp0s3 port 21 | |
==SMTP-Verkehr erfassen== | ==SMTP-Verkehr erfassen== | ||
| − | Erfasst Verkehr über Port 25. | + | *Erfasst Verkehr über Port 25. |
| − | + | tcpdump -i enp0s3 port 25 | |
==DNS-Verkehr erfassen== | ==DNS-Verkehr erfassen== | ||
| − | Erfasst Verkehr über Port 53. | + | *Erfasst Verkehr über Port 53. |
| − | + | tcpdump -i enp0s3 port 53 | |
=Verkehr nach Richtung filtern= | =Verkehr nach Richtung filtern= | ||
==Verkehr von 192.168.1.100 erfassen== | ==Verkehr von 192.168.1.100 erfassen== | ||
| − | Zeigt alle Pakete mit dieser IP als Quelle. | + | *Zeigt alle Pakete mit dieser IP als Quelle. |
| − | + | tcpdump -i enp0s3 src host 192.168.1.100 | |
==Verkehr zu 192.168.1.100 erfassen== | ==Verkehr zu 192.168.1.100 erfassen== | ||
| − | Zeigt alle Pakete mit dieser IP als Ziel. | + | *Zeigt alle Pakete mit dieser IP als Ziel. |
| − | + | tcpdump -i enp0s3 dst host 192.168.1.100 | |
==Verkehr mit Quellport 80 erfassen== | ==Verkehr mit Quellport 80 erfassen== | ||
| − | Zeigt Pakete, die von Port 80 ausgehen. | + | *Zeigt Pakete, die von Port 80 ausgehen. |
| − | + | tcpdump -i enp0s3 src port 80 | |
==Verkehr mit Zielport 443 erfassen== | ==Verkehr mit Zielport 443 erfassen== | ||
| − | Zeigt Pakete, die an Port 443 gehen. | + | *Zeigt Pakete, die an Port 443 gehen. |
| − | + | tcpdump -i enp0s3 dst port 443 | |
=Protokolle filtern= | =Protokolle filtern= | ||
==Nur TCP-Verkehr erfassen== | ==Nur TCP-Verkehr erfassen== | ||
| − | Erfasst ausschließlich TCP-Pakete. | + | *Erfasst ausschließlich TCP-Pakete. |
| − | + | tcpdump -i enp0s3 tcp | |
==Nur UDP-Verkehr erfassen== | ==Nur UDP-Verkehr erfassen== | ||
| − | Erfasst ausschließlich UDP-Pakete. | + | *Erfasst ausschließlich UDP-Pakete. |
| − | + | tcpdump -i enp0s3 udp | |
==Nur ICMP-Verkehr erfassen== | ==Nur ICMP-Verkehr erfassen== | ||
| − | Zeigt nur ICMP-Nachrichten. | + | *Zeigt nur ICMP-Nachrichten. |
| − | + | tcpdump -i enp0s3 icmp | |
=Nach Subnetzen filtern= | =Nach Subnetzen filtern= | ||
==Verkehr im Subnetz 192.168.1.0/24 erfassen== | ==Verkehr im Subnetz 192.168.1.0/24 erfassen== | ||
| − | Zeigt Verkehr innerhalb des Subnetzes. | + | *Zeigt Verkehr innerhalb des Subnetzes. |
| − | + | tcpdump -i enp0s3 net 192.168.1.0/24 | |
==Verkehr aus dem Subnetz erfassen== | ==Verkehr aus dem Subnetz erfassen== | ||
| − | Zeigt Verkehr mit Quelladresse im Subnetz. | + | *Zeigt Verkehr mit Quelladresse im Subnetz. |
| − | + | tcpdump -i enp0s3 src net 192.168.1.0/24 | |
==Verkehr ins Subnetz erfassen== | ==Verkehr ins Subnetz erfassen== | ||
| − | Zeigt Verkehr mit Zieladresse im Subnetz. | + | *Zeigt Verkehr mit Zieladresse im Subnetz. |
| − | + | tcpdump -i enp0s3 dst net 192.168.1.0/24 | |
=Kombinierte Filter= | =Kombinierte Filter= | ||
==Verkehr zu Host und Port 80 erfassen== | ==Verkehr zu Host und Port 80 erfassen== | ||
| − | Filtert alle Pakete zu 192.168.1.100 auf Port 80. | + | *Filtert alle Pakete zu 192.168.1.100 auf Port 80. |
| − | + | tcpdump -i enp0s3 dst host 192.168.1.100 and dst port 80 | |
==Verkehr von Host auf Port 443 erfassen== | ==Verkehr von Host auf Port 443 erfassen== | ||
| − | Filtert alle Pakete von 192.168.1.100 mit Port 443. | + | *Filtert alle Pakete von 192.168.1.100 mit Port 443. |
| − | + | tcpdump -i enp0s3 src host 192.168.1.100 and src port 443 | |
==Verkehr zu/von Host auf Port 80 oder 443 erfassen== | ==Verkehr zu/von Host auf Port 80 oder 443 erfassen== | ||
| − | Zeigt Verkehr zu/von 192.168.1.100 über Port 80 oder 443. | + | *Zeigt Verkehr zu/von 192.168.1.100 über Port 80 oder 443. |
| − | + | tcpdump -i enp0s3 host 192.168.1.100 and \( port 80 or port 443 \) | |
=Negation= | =Negation= | ||
==Alle Pakete außer ICMP erfassen== | ==Alle Pakete außer ICMP erfassen== | ||
| − | Filtert alles außer ICMP. | + | *Filtert alles außer ICMP. |
| − | + | tcpdump -i enp0s3 not icmp | |
==Alle Pakete außer Port 80 erfassen== | ==Alle Pakete außer Port 80 erfassen== | ||
| − | Filtert alles außer HTTP. | + | *Filtert alles außer HTTP. |
| − | + | tcpdump -i enp0s3 not port 80 | |
=Nach TCP-Flags filtern= | =Nach TCP-Flags filtern= | ||
==Nur SYN-Pakete erfassen== | ==Nur SYN-Pakete erfassen== | ||
| − | Erkennt TCP-Verbindungsaufbau. | + | *Erkennt TCP-Verbindungsaufbau. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] & tcp-syn != 0' | |
==Nur ACK-Pakete erfassen== | ==Nur ACK-Pakete erfassen== | ||
| − | Filtert alle Pakete mit gesetztem ACK-Flag. | + | *Filtert alle Pakete mit gesetztem ACK-Flag. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] & tcp-ack != 0' | |
==Nur RST-Pakete erfassen== | ==Nur RST-Pakete erfassen== | ||
| − | Zeigt TCP-Verbindungsabbrüche. | + | *Zeigt TCP-Verbindungsabbrüche. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] & tcp-rst != 0' | |
==Nur FIN-Pakete erfassen== | ==Nur FIN-Pakete erfassen== | ||
| − | Erkennt Verbindungsabbau. | + | *Erkennt Verbindungsabbau. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] & tcp-fin != 0' | |
==Nur URG-Pakete erfassen== | ==Nur URG-Pakete erfassen== | ||
| − | Erkennt dringende TCP-Daten. | + | *Erkennt dringende TCP-Daten. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] & tcp-urg != 0' | |
==Nur PSH-Pakete erfassen== | ==Nur PSH-Pakete erfassen== | ||
| − | Zeigt Daten mit Push-Flag. | + | *Zeigt Daten mit Push-Flag. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] & tcp-push != 0' | |
==Alle TCP-Flags auf 0x01 prüfen== | ==Alle TCP-Flags auf 0x01 prüfen== | ||
| − | Erfasst Pakete mit exakt diesem Flagwert. | + | *Erfasst Pakete mit exakt diesem Flagwert. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] = 0x01' | |
==Keine TCP-Flags gesetzt== | ==Keine TCP-Flags gesetzt== | ||
| − | Filtert Pakete ohne gesetzte Flags. | + | *Filtert Pakete ohne gesetzte Flags. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] = 0x00' | |
==SYN/ACK-Kombination prüfen== | ==SYN/ACK-Kombination prüfen== | ||
| − | Zeigt Pakete mit SYN- und ACK-Flag. | + | *Zeigt Pakete mit SYN- und ACK-Flag. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] = 0x12' | |
==SYN/RST-Kombination prüfen== | ==SYN/RST-Kombination prüfen== | ||
| − | Filtert Pakete mit SYN- und RST-Flag. | + | *Filtert Pakete mit SYN- und RST-Flag. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] = 0x14' | |
==SYN/FIN-Kombination prüfen== | ==SYN/FIN-Kombination prüfen== | ||
| − | Erkennt gleichzeitigen Aufbau/Abbau. | + | *Erkennt gleichzeitigen Aufbau/Abbau. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] = 0x11' | |
==PSH/ACK-Kombination prüfen== | ==PSH/ACK-Kombination prüfen== | ||
| − | Zeigt Pakete mit aktiver Datenübertragung. | + | *Zeigt Pakete mit aktiver Datenübertragung. |
| − | + | tcpdump -i enp0s3 'tcp[tcpflags] = 0x18' | |
=Spezielle IP-Header-Felder= | =Spezielle IP-Header-Felder= | ||
==IP-Fragmentierung prüfen== | ==IP-Fragmentierung prüfen== | ||
| − | Zeigt fragmentierte Pakete. | + | *Zeigt fragmentierte Pakete. |
| − | + | tcpdump -i enp0s3 'ip[6:2] & 0x1fff != 0' | |
==TTL-Wert 128 prüfen== | ==TTL-Wert 128 prüfen== | ||
| − | Filtert Pakete mit Time-To-Live 128. | + | *Filtert Pakete mit Time-To-Live 128. |
| − | + | tcpdump -i enp0s3 'ip[8] = 128' | |
==DSCP-Wert prüfen== | ==DSCP-Wert prüfen== | ||
| − | Zeigt Pakete mit Differentiated Services Code Point 46. | + | *Zeigt Pakete mit Differentiated Services Code Point 46. |
| − | + | tcpdump -i enp0s3 'ip[1] & 0xfc >> 2 = 46' | |
==ECN-Wert prüfen== | ==ECN-Wert prüfen== | ||
| − | Filtert Pakete mit Explicit Congestion Notification 3. | + | *Filtert Pakete mit Explicit Congestion Notification 3. |
| − | + | tcpdump -i enp0s3 'ip[1] & 0x03 = 3' | |
=TCP-Sequenzdaten= | =TCP-Sequenzdaten= | ||
==TCP-Sequence-Number prüfen== | ==TCP-Sequence-Number prüfen== | ||
| − | Zeigt Pakete mit Sequenznummer 12345678. | + | *Zeigt Pakete mit Sequenznummer 12345678. |
| − | + | tcpdump -i enp0s3 'tcp[4:4] = 12345678' | |
==TCP-Acknowledgement-Number prüfen== | ==TCP-Acknowledgement-Number prüfen== | ||
| − | Zeigt Pakete mit ACK-Nummer 87654321. | + | *Zeigt Pakete mit ACK-Nummer 87654321. |
| − | + | tcpdump -i enp0s3 'tcp[8:4] = 87654321' | |
==Quellportbereich prüfen== | ==Quellportbereich prüfen== | ||
| − | Filtert TCP-Pakete mit Quellport zwischen 1024 und 65535. | + | *Filtert TCP-Pakete mit Quellport zwischen 1024 und 65535. |
| − | + | tcpdump -i enp0s3 'tcp[0:2] > 1023 and tcp[0:2] < 65536' | |
==Zielportbereich prüfen== | ==Zielportbereich prüfen== | ||
| − | Filtert TCP-Pakete mit Zielport zwischen 1024 und 65535. | + | *Filtert TCP-Pakete mit Zielport zwischen 1024 und 65535. |
| − | + | tcpdump -i enp0s3 'tcp[2:2] > 1023 and tcp[2:2] < 65536' | |
Aktuelle Version vom 10. Mai 2025, 16:47 Uhr
Einführung in tcpdump
tcpdump im Überblick
tcpdump ist das weltweit führende Tool zur Netzwerkanalyse – leistungsstark und einfach in einer einzigen Befehlszeilenschnittstelle.
Funktionsweise
tcpdump ist ein Paketanalysator für die Kommandozeile zur Erfassung und Untersuchung von Netzwerkverkehr in Echtzeit.
Zielgruppe
Dieses Tool ist unverzichtbar für Netzwerkadministratoren, Sicherheitsexperten und alle, die Netzwerkverhalten analysieren wollen.
Was dieses Tutorial bietet
In diesem Tutorial werden 50 praktische Anwendungsbeispiele von tcpdump behandelt – von einfacher Erfassung bis zu komplexer Filterung.
Benutzung
Standardmäßig fängt tcpdump alle Pakete ab die von der niedrigst nummerierten Netzwerkschnittstelle irgendwohin gehen oder empfangen werden mit einer maximalgröße von 96 bytes bis man es mit STRG+C abbricht:
Da tcpdump viel zuviele Pakete aufzeichnet um in Echtzeit etwas damit anfangen zu können muss man es über Optionen steuern.
Optionen
| -s | size | Legt die Maximale Größe der abgefangenen Pakete fest. Empfohlener Wert is 1500 bytes, das entspricht der maximalen Paketgröße eines IP-Pakets |
| -c | count | Bestimmt die Anzahl an Paketen die abgefangen werden sollen |
| -w | write | Speichert die Ausgabe in einer Datei. Da tcpdump eine Menge Daten abfängt, ist es oft ratsam die Daten in einer Datei unterzubringen |
| -r | read | Liest mit tcpdump erstellte Dateien |
| -n | numeric | Versucht nicht IP-Adressen in Hostnamen umzuwandeln, das beschleunigt die Ausgaberate erheblich |
| -t | time | Entfernt den Zeitstempel am Anfang jedes Pakets. Steigert die Übersichtlichkeit fals man nicht an Zeitstempeln interessiert ist |
| -i | interface | Hört das angegebene Interface ab. |
| -A | ASCII | Zeigt die Pakete ohne ihre Header in ASCII an |
| -D | Devices | Zeigt eine Liste der Netwerkschnittstellen an auf denen tcpdump laufen könnte |
| -e | ethernet | Zeigt den Ethernet Header jedes Pakets an |
| -i | interface | Tcpdump benutzt das angegebene Interface ( -i eth0 ) |
| -p | promiscuous | Tcpdump fängt nur Pakete ab die auch für den Rechner bestimmt sind |
| -q | quick | Zeigt weniger Protokoll-Informationen |
| -v | verbose | Zeigt mehr Informationen an, steigerbar bis -vvv |
Filter
Da man jetzt immernoch mit allen Pakete die in unserer Netzwerkkarte so ankommen zu kämpfen hat, hat man unter vielen anderen folgende Filter-Optionen zur Hand:
Optionen
| Filter | Match |
|---|---|
| host IP | IP-Adresse |
| port PORT | Port-Nummer |
| net NET/CIDR | Netz und Netznummer in CIDR Schreibweise |
| src (host IP|port PORT|net NET/CIDR) | Quellen IP-Adresse, Port-Nummer oder Netz |
| dst (host IP|port PORT|net NET/CIDR) | Ziel IP-Adresse,Port-Nummer oder Netz |
| ! oder not | Negation |
| && oder and | Und Verknüpfung |
| || oder or | Oder Verknüpfung |
Grundlegende Syntax
Syntaxaufbau
- Die allgemeine Syntax besteht aus Optionen und einem Filterausdruck.
tcpdump [optionen] [ausdruck]
Funktion von Optionen
- Optionen steuern das Verhalten von tcpdump, z. B. Interface-Auswahl oder Ausgabeformat.
Funktion von Ausdrücken
- Ein Ausdruck bestimmt, welche Art von Verkehr erfasst wird – über Hostnamen, IPs, Ports, Protokolle usw.
Verkehr auf einem Interface erfassen
Verkehr auf enp0s3 erfassen
- Erfasst den gesamten Netzwerkverkehr auf dem Interface enp0s3.
tcpdump -i enp0s3
Verfügbare Schnittstellen anzeigen
- Listet alle verfügbaren Netzwerkinterfaces auf.
tcpdump -D
Verkehr zu/von einem Host erfassen
Verkehr zu oder von 192.168.1.100 erfassen
- Erfasst alle Pakete zwischen dem lokalen System und 192.168.1.100.
tcpdump -i enp0s3 host 192.168.1.100
Verkehr zu oder von example.com erfassen
- Zeigt den gesamten Verkehr mit example.com.
tcpdump -i enp0s3 host example.com
Verkehr auf einem Port erfassen
HTTP-Verkehr erfassen
- Erfasst Verkehr über Port 80.
tcpdump -i enp0s3 port 80
HTTPS-Verkehr erfassen
- Erfasst Verkehr über Port 443.
tcpdump -i enp0s3 port 443
SSH-Verkehr erfassen
- Erfasst Verkehr über Port 22.
tcpdump -i enp0s3 port 22
FTP-Verkehr erfassen
- Erfasst Verkehr über Port 21.
tcpdump -i enp0s3 port 21
SMTP-Verkehr erfassen
- Erfasst Verkehr über Port 25.
tcpdump -i enp0s3 port 25
DNS-Verkehr erfassen
- Erfasst Verkehr über Port 53.
tcpdump -i enp0s3 port 53
Verkehr nach Richtung filtern
Verkehr von 192.168.1.100 erfassen
- Zeigt alle Pakete mit dieser IP als Quelle.
tcpdump -i enp0s3 src host 192.168.1.100
Verkehr zu 192.168.1.100 erfassen
- Zeigt alle Pakete mit dieser IP als Ziel.
tcpdump -i enp0s3 dst host 192.168.1.100
Verkehr mit Quellport 80 erfassen
- Zeigt Pakete, die von Port 80 ausgehen.
tcpdump -i enp0s3 src port 80
Verkehr mit Zielport 443 erfassen
- Zeigt Pakete, die an Port 443 gehen.
tcpdump -i enp0s3 dst port 443
Protokolle filtern
Nur TCP-Verkehr erfassen
- Erfasst ausschließlich TCP-Pakete.
tcpdump -i enp0s3 tcp
Nur UDP-Verkehr erfassen
- Erfasst ausschließlich UDP-Pakete.
tcpdump -i enp0s3 udp
Nur ICMP-Verkehr erfassen
- Zeigt nur ICMP-Nachrichten.
tcpdump -i enp0s3 icmp
Nach Subnetzen filtern
Verkehr im Subnetz 192.168.1.0/24 erfassen
- Zeigt Verkehr innerhalb des Subnetzes.
tcpdump -i enp0s3 net 192.168.1.0/24
Verkehr aus dem Subnetz erfassen
- Zeigt Verkehr mit Quelladresse im Subnetz.
tcpdump -i enp0s3 src net 192.168.1.0/24
Verkehr ins Subnetz erfassen
- Zeigt Verkehr mit Zieladresse im Subnetz.
tcpdump -i enp0s3 dst net 192.168.1.0/24
Kombinierte Filter
Verkehr zu Host und Port 80 erfassen
- Filtert alle Pakete zu 192.168.1.100 auf Port 80.
tcpdump -i enp0s3 dst host 192.168.1.100 and dst port 80
Verkehr von Host auf Port 443 erfassen
- Filtert alle Pakete von 192.168.1.100 mit Port 443.
tcpdump -i enp0s3 src host 192.168.1.100 and src port 443
Verkehr zu/von Host auf Port 80 oder 443 erfassen
- Zeigt Verkehr zu/von 192.168.1.100 über Port 80 oder 443.
tcpdump -i enp0s3 host 192.168.1.100 and \( port 80 or port 443 \)
Negation
Alle Pakete außer ICMP erfassen
- Filtert alles außer ICMP.
tcpdump -i enp0s3 not icmp
Alle Pakete außer Port 80 erfassen
- Filtert alles außer HTTP.
tcpdump -i enp0s3 not port 80
Nach TCP-Flags filtern
Nur SYN-Pakete erfassen
- Erkennt TCP-Verbindungsaufbau.
tcpdump -i enp0s3 'tcp[tcpflags] & tcp-syn != 0'
Nur ACK-Pakete erfassen
- Filtert alle Pakete mit gesetztem ACK-Flag.
tcpdump -i enp0s3 'tcp[tcpflags] & tcp-ack != 0'
Nur RST-Pakete erfassen
- Zeigt TCP-Verbindungsabbrüche.
tcpdump -i enp0s3 'tcp[tcpflags] & tcp-rst != 0'
Nur FIN-Pakete erfassen
- Erkennt Verbindungsabbau.
tcpdump -i enp0s3 'tcp[tcpflags] & tcp-fin != 0'
Nur URG-Pakete erfassen
- Erkennt dringende TCP-Daten.
tcpdump -i enp0s3 'tcp[tcpflags] & tcp-urg != 0'
Nur PSH-Pakete erfassen
- Zeigt Daten mit Push-Flag.
tcpdump -i enp0s3 'tcp[tcpflags] & tcp-push != 0'
Alle TCP-Flags auf 0x01 prüfen
- Erfasst Pakete mit exakt diesem Flagwert.
tcpdump -i enp0s3 'tcp[tcpflags] = 0x01'
Keine TCP-Flags gesetzt
- Filtert Pakete ohne gesetzte Flags.
tcpdump -i enp0s3 'tcp[tcpflags] = 0x00'
SYN/ACK-Kombination prüfen
- Zeigt Pakete mit SYN- und ACK-Flag.
tcpdump -i enp0s3 'tcp[tcpflags] = 0x12'
SYN/RST-Kombination prüfen
- Filtert Pakete mit SYN- und RST-Flag.
tcpdump -i enp0s3 'tcp[tcpflags] = 0x14'
SYN/FIN-Kombination prüfen
- Erkennt gleichzeitigen Aufbau/Abbau.
tcpdump -i enp0s3 'tcp[tcpflags] = 0x11'
PSH/ACK-Kombination prüfen
- Zeigt Pakete mit aktiver Datenübertragung.
tcpdump -i enp0s3 'tcp[tcpflags] = 0x18'
Spezielle IP-Header-Felder
IP-Fragmentierung prüfen
- Zeigt fragmentierte Pakete.
tcpdump -i enp0s3 'ip[6:2] & 0x1fff != 0'
TTL-Wert 128 prüfen
- Filtert Pakete mit Time-To-Live 128.
tcpdump -i enp0s3 'ip[8] = 128'
DSCP-Wert prüfen
- Zeigt Pakete mit Differentiated Services Code Point 46.
tcpdump -i enp0s3 'ip[1] & 0xfc >> 2 = 46'
ECN-Wert prüfen
- Filtert Pakete mit Explicit Congestion Notification 3.
tcpdump -i enp0s3 'ip[1] & 0x03 = 3'
TCP-Sequenzdaten
TCP-Sequence-Number prüfen
- Zeigt Pakete mit Sequenznummer 12345678.
tcpdump -i enp0s3 'tcp[4:4] = 12345678'
TCP-Acknowledgement-Number prüfen
- Zeigt Pakete mit ACK-Nummer 87654321.
tcpdump -i enp0s3 'tcp[8:4] = 87654321'
Quellportbereich prüfen
- Filtert TCP-Pakete mit Quellport zwischen 1024 und 65535.
tcpdump -i enp0s3 'tcp[0:2] > 1023 and tcp[0:2] < 65536'
Zielportbereich prüfen
- Filtert TCP-Pakete mit Zielport zwischen 1024 und 65535.
tcpdump -i enp0s3 'tcp[2:2] > 1023 and tcp[2:2] < 65536'