Tcpdump kompakt: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) (→filter) |
||
| Zeile 24: | Zeile 24: | ||
*filtere icmp pakete | *filtere icmp pakete | ||
tcpdump -ni eth0 icmp | tcpdump -ni eth0 icmp | ||
| + | *filtere esp pakete | ||
| + | tcpdump -ni eth1 esp | ||
*filtere nach paketen die den absender oder empfänger port 80 enthalten | *filtere nach paketen die den absender oder empfänger port 80 enthalten | ||
tcpdump -ni eth0 port 80 | tcpdump -ni eth0 port 80 | ||
| Zeile 40: | Zeile 42: | ||
*filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80 | *filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80 | ||
tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \) | tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \) | ||
| + | |||
=specials= | =specials= | ||
*pakete grösser 1500 byte | *pakete grösser 1500 byte | ||
Version vom 24. August 2015, 14:08 Uhr
allgemein
- lausche an dem lan interface
tcpdump -i lan
- lausche an dem eth0 interface
tcpdump -i eth0
- schneide 100 pakete mit
tcpdump -ni eth0 -c 100
- unterdrücke namensauflösung
tcpdump -ni lan
- schreibe datenstrom in die datei dat.cap im capture-format
tcpdump -ni lan -w dat.cap
- lese aus der datei dat.cap
tcpdump -r dat.cap
- komplettes paket mitschneiden
tcpdump -ni lan -s 1500 -w dat.cap
filter
- filtere pakete die die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1
- filtere pakete die die absender ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 src host 192.168.244.1
- filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 dst host 192.168.244.1
- filtere icmp pakete
tcpdump -ni eth0 icmp
- filtere esp pakete
tcpdump -ni eth1 esp
- filtere nach paketen die den absender oder empfänger port 80 enthalten
tcpdump -ni eth0 port 80
- filtere nach paketen die den absender port 80 enthalten
tcpdump -ni eth0 src port 80
- filtere nach paketen die den empfänger port 80 enthalten
tcpdump -ni eth0 dst port 80
- filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten
tcpdump -ni eth0 host 192.168.244.12 and port 80
- filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 and ! port 22
- filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten
tcpdump -ni eth0 host 192.168.244.1 or icmp
- filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten
tcpdump -ni eth0 net 192.168.244.0/24
- filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80
tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \)
specials
- pakete grösser 1500 byte
tcpdump -ni lan "ip[2:2] > 1500"
- filtere alle ipv4 pakete
tcpdump -ni eth0 "ip[0:1] & 0xf0 == 64"
- filtere alle pakete deren TTL unter 25
tcpdump -ni eth0 "ip[8:1] < 25"
- filtere alle pakete die das syn flag gesetzt haben
tcpdump -ni eth0 "tcp[13:1] & 2 == 2"
- filtere alle pakete die nur das syn flag gesetzt haben
tcpdump -ni eth0 "tcp[13:1] == 2"