Schnellkurs tcpdump
Version vom 23. Juli 2025, 08:22 Uhr von Thomas.will (Diskussion | Beiträge) (→Schnellkurs tcpdump mit enp0s3)
Schnellkurs tcpdump mit enp0s3
Einführung in tcpdump mit Fokus auf die Schnittstelle enp0s3 und Filter für ICMP, TCP-Ports, AND/OR-Logik.
Grundlagen
- Lauschen auf Interface:
tcpdump -ni enp0s3
- Nur ICMP-Pakete (z.B. ping):
tcpdump -ni enp0s3 icmp
- Nur TCP-Verkehr (alle Ports):
tcpdump -ni enp0s3 tcp
- Nur bestimmter TCP-Port (z.B. 80 für HTTP):
tcpdump -ni enp0s3 tcp port 80
Filter mit AND / OR
- TCP auf Port 443 und IP 10.0.0.1:
tcpdump -ni enp0s3 tcp port 443 and host 10.0.0.1
- TCP auf Port 80 oder 443:
tcpdump -ni enp0s3 tcp port 80 or tcp port 443
- ICMP oder TCP-Port 22:
tcpdump -i enp0s3 icmp or tcp port 22
- Alles außer ICMP:
tcpdump -i enp0s3 not icmp
Erweiterungen
- ASCII-Inhalt der Pakete anzeigen:
tcpdump -i enp0s3 -A
- Nur die ersten 20 Pakete:
tcpdump -i enp0s3 -c 20
- Mitschneiden in Datei (für Wireshark):
tcpdump -i enp0s3 -w capture.pcap
Hinweise
- tcpdump benötigt oft root-Rechte → mit sudo ausführen.
- Beenden mit [Strg]+[C].
- Mitschnitte können später mit tcpdump -r capture.pcap angesehen werden.