Tcpdump filter
Version vom 10. Oktober 2022, 10:48 Uhr von Thomas.will (Diskussion | Beiträge)
Filter
Da man jetzt immernoch mit allen Pakete die in unserer Netzwerkkarte so ankommen zu kämpfen hat, hat man unter vielen anderen folgende Filter-Optionen zur Hand:
Optionen
| Filter | Match |
|---|---|
| host IP | IP-Adresse |
| port PORT | Port-Nummer |
| net NET/CIDR | Netz und Netznummer in CIDR Schreibweise |
| src (host IP|port PORT|net NET/CIDR) | Quellen IP-Adresse, Port-Nummer oder Netz |
| dst (host IP|port PORT|net NET/CIDR) | Ziel IP-Adresse,Port-Nummer oder Netz |
| ! oder not | Negation |
| && oder and | Und Verknüpfung |
| || oder or | Oder Verknüpfung |
filtere pakete die die absender oder empfänger ip addr esse 192.168.244.1 enthalten
- tcpdump -ni eth0 host 192.168.244.1
filtere pakete die die absender ip addresse 192.168.244.1 enthalten
- tcpdump -ni eth0 src host 192.168.244.1
filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten
- tcpdump -ni eth0 dst host 192.168.244.1
filtere icmp pakete
- tcpdump -ni eth0 icmp
filtere esp pakete
- tcpdump -ni eth1 esp
filtere nach paketen die den absender oder empfänger port 80 enthalten
- tcpdump -ni eth0 port 80
filtere nach paketen die den absender port 80 enthalten
- tcpdump -ni eth0 src port 80
filtere nach paketen die den empfänger port 80 enthalten
- tcpdump -ni eth0 dst port 80
filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten
- tcpdump -ni eth0 host 192.168.244.12 and port 80
filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten
- tcpdump -ni eth0 host 192.168.244.1 and ! port 22
filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten
- tcpdump -ni eth0 host 192.168.244.1 or icmp
filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten
- tcpdump -ni eth0 net 192.168.244.0/24
filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80
- tcpdump -ni eth0 net 192.168.244.0/24 and \( icmp or port 80 \)
filtere nach tcp port 80
- tcpdump -ni lan tcp port 80
filtere alle pakete die das syn flag gesetzt haben
- tcpdump -ni lan 'tcp[tcpflags] & (tcp-syn) != 0'
filtere alle pakete vom typ echoreply
- tcpdump -ni lan 'icmp[icmptype] = icmp-echoreply'=
filtere alle pakete, die von oder zu der MAC-Adresse 11:22:33:44:55:66 kommen/gehen
- tcpdump "ether host 11:22:33:44:55:66"