Minimales tcpdump-Skript

tcpdump ist ein Werkzeug zur Paketaufzeichnung und Analyse auf der Kommandozeile. Die folgenden Beispiele zeigen die wichtigsten Optionen und Filter in kompakter Form. Interface: enp0s3

Grundlegende Optionen

• -i enp0s3 → Interface festlegen
• -n → keine Namensauflösung (schneller)
• -w datei.pcap → Mitschnitt in Datei schreiben
• -r datei.pcap → Mitschnitt aus Datei lesen

Beispiel: einfacher Mitschnitt

• tcpdump -i enp0s3 -n

Filter nach Host

Nur Verkehr von/zu einer bestimmten IP-Adresse aufzeichnen:

• tcpdump -i enp0s3 -n host 10.0.10.104

Nur eingehender Verkehr von einem Host:

• tcpdump -i enp0s3 -n src host 10.0.10.104

Nur ausgehender Verkehr zu einem Host:

• tcpdump -i enp0s3 -n dst host 10.0.10.104

Filter nach Port

Verkehr auf TCP-Port 80 (HTTP):

• tcpdump -i enp0s3 -n port 80

Nur TCP-Pakete auf Port 443:

• tcpdump -i enp0s3 -n tcp port 443

Nur UDP-Pakete auf Port 53 (DNS):

• tcpdump -i enp0s3 -n udp port 53

Filter mit Kombinationen (and / or / not)

HTTP oder HTTPS:

• tcpdump -i enp0s3 -n '(port 80 or port 443)'

Pakete zum Host 10.0.10.104, aber nicht Port 22:

• tcpdump -i enp0s3 -n 'host 10.0.10.104 and not port 22'

ICMP oder TCP:

• tcpdump -i enp0s3 -n '(icmp or tcp)'

ICMP-Filter

Nur ICMP (Ping) aufzeichnen:

• tcpdump -i enp0s3 -n icmp

Nur eingehende Echo Requests:

• tcpdump -i enp0s3 -n 'icmp[icmptype] = icmp-echo'

Mitschnitt in Datei schreiben

• tcpdump -i enp0s3 -n -w capture.pcap

Mitschnitt aus Datei lesen

• tcpdump -r capture.pcap -n

Beispiel: gezielter Mitschnitt

Ping- und HTTP-Verkehr des Hosts 10.0.10.104 mitschneiden und speichern:

• tcpdump -i enp0s3 -n '(icmp or port 80)' and host 10.0.10.104 -w traffic.pcap