Schnellkurs tcpdump: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 41: | Zeile 41: | ||
* Mitschneiden in Datei (für Wireshark): | * Mitschneiden in Datei (für Wireshark): | ||
tcpdump -ni enp0s3 -w capture.pcap port 8000 | tcpdump -ni enp0s3 -w capture.pcap port 8000 | ||
| + | |||
| + | * Auslesen der Datei : | ||
| + | tcpdump -r capture.pcap | ||
=== Hinweise === | === Hinweise === | ||
Version vom 5. Mai 2026, 08:39 Uhr
Schnellkurs tcpdump mit br0
Einführung in tcpdump mit Fokus auf die Schnittstelle br0 und Filter für ICMP, TCP-Ports, AND/OR-Logik.
Grundlagen
- Lauschen auf Interface:
tcpdump -ni enp0s3
- Nur ICMP-Pakete (z.B. ping):
tcpdump -ni enp0s3 icmp
- Nur TCP-Verkehr (alle Ports):
tcpdump -ni enp0s3 tcp
- Nur bestimmter TCP-Port (z.B. 80 für HTTP):
tcpdump -ni enp0s3 tcp port 80
- Nur bestimmter TCP-Port (z.B. 80 für HTTP) und ASCII Text wird ausgegeben.
tcpdump -A -ni enp0s3 tcp port 80
Filter mit AND / OR
- TCP auf Port 443 und IP 10.0.0.1:
tcpdump -ni enp0s3 tcp port 443 and host 10.0.0.1
- TCP auf Port 80 oder 443:
tcpdump -ni enp0s3 tcp port 80 or tcp port 443
- ICMP oder TCP-Port 22:
tcpdump -ni enp0s3 icmp or tcp port 22
- Alles außer ICMP:
tcpdump -ni enp0s3 not icmp
Erweiterungen
- ASCII-Inhalt der Pakete anzeigen:
tcpdump -ni enp0s3 -A
- Nur die ersten 20 Pakete:
tcpdump -ni enp0s3 -c 3 icmp
- Mitschneiden in Datei (für Wireshark):
tcpdump -ni enp0s3 -w capture.pcap port 8000
- Auslesen der Datei :
tcpdump -r capture.pcap
Hinweise
- tcpdump benötigt oft root-Rechte → mit sudo ausführen.
- Beenden mit [Strg]+[C].
- Mitschnitte können später mit tcpdump -r capture.pcap angesehen werden.