Schnellkurs tcpdump: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | == Schnellkurs tcpdump mit | + | == Schnellkurs tcpdump mit br0 == |
| − | Einführung in tcpdump mit Fokus auf die Schnittstelle | + | Einführung in tcpdump mit Fokus auf die Schnittstelle br0 und Filter für ICMP, TCP-Ports, AND/OR-Logik. |
=== Grundlagen === | === Grundlagen === | ||
* Lauschen auf Interface: | * Lauschen auf Interface: | ||
| − | tcpdump -ni | + | tcpdump -ni br0 |
* Nur ICMP-Pakete (z.B. ping): | * Nur ICMP-Pakete (z.B. ping): | ||
| − | tcpdump -ni | + | tcpdump -ni br0 icmp |
* Nur TCP-Verkehr (alle Ports): | * Nur TCP-Verkehr (alle Ports): | ||
| − | tcpdump -ni | + | tcpdump -ni br0 tcp |
* Nur bestimmter TCP-Port (z.B. 80 für HTTP): | * Nur bestimmter TCP-Port (z.B. 80 für HTTP): | ||
| − | tcpdump -ni | + | tcpdump -ni br0 tcp port 80 |
=== Filter mit AND / OR === | === Filter mit AND / OR === | ||
* TCP auf Port 443 und IP 10.0.0.1: | * TCP auf Port 443 und IP 10.0.0.1: | ||
| − | tcpdump -ni | + | tcpdump -ni br0 tcp port 443 and host 10.0.0.1 |
* TCP auf Port 80 oder 443: | * TCP auf Port 80 oder 443: | ||
| − | tcpdump -ni | + | tcpdump -ni br0 tcp port 80 or tcp port 443 |
* ICMP oder TCP-Port 22: | * ICMP oder TCP-Port 22: | ||
| − | tcpdump - | + | tcpdump -ni br0 icmp or tcp port 22 |
* Alles außer ICMP: | * Alles außer ICMP: | ||
| − | tcpdump - | + | tcpdump -ni br0 not icmp |
=== Erweiterungen === | === Erweiterungen === | ||
* ASCII-Inhalt der Pakete anzeigen: | * ASCII-Inhalt der Pakete anzeigen: | ||
| − | tcpdump - | + | tcpdump -ni br0 -A |
* Nur die ersten 20 Pakete: | * Nur die ersten 20 Pakete: | ||
| − | tcpdump - | + | tcpdump -ni br0 -c 20 |
* Mitschneiden in Datei (für Wireshark): | * Mitschneiden in Datei (für Wireshark): | ||
| − | tcpdump - | + | tcpdump -ni br0 -w capture.pcap |
=== Hinweise === | === Hinweise === | ||
Aktuelle Version vom 23. Juli 2025, 08:25 Uhr
Schnellkurs tcpdump mit br0
Einführung in tcpdump mit Fokus auf die Schnittstelle br0 und Filter für ICMP, TCP-Ports, AND/OR-Logik.
Grundlagen
- Lauschen auf Interface:
tcpdump -ni br0
- Nur ICMP-Pakete (z.B. ping):
tcpdump -ni br0 icmp
- Nur TCP-Verkehr (alle Ports):
tcpdump -ni br0 tcp
- Nur bestimmter TCP-Port (z.B. 80 für HTTP):
tcpdump -ni br0 tcp port 80
Filter mit AND / OR
- TCP auf Port 443 und IP 10.0.0.1:
tcpdump -ni br0 tcp port 443 and host 10.0.0.1
- TCP auf Port 80 oder 443:
tcpdump -ni br0 tcp port 80 or tcp port 443
- ICMP oder TCP-Port 22:
tcpdump -ni br0 icmp or tcp port 22
- Alles außer ICMP:
tcpdump -ni br0 not icmp
Erweiterungen
- ASCII-Inhalt der Pakete anzeigen:
tcpdump -ni br0 -A
- Nur die ersten 20 Pakete:
tcpdump -ni br0 -c 20
- Mitschneiden in Datei (für Wireshark):
tcpdump -ni br0 -w capture.pcap
Hinweise
- tcpdump benötigt oft root-Rechte → mit sudo ausführen.
- Beenden mit [Strg]+[C].
- Mitschnitte können später mit tcpdump -r capture.pcap angesehen werden.