Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
tcpdump - Netzwerkanalyse-Tool
tcpdump ist ein weit verbreitetes Kommandozeilen-Tool zur Analyse und Überwachung des Netzwerkverkehrs. Es wird verwendet, um Pakete, die über ein Netzwerk gesendet werden, zu erfassen und zu analysieren. tcpdump kann helfen, Netzwerkprobleme zu diagnostizieren und die Kommunikation zwischen Hosts zu überwachen.
Syntax
tcpdump [Optionen] [Ausdruck]
Wichtige Optionen
| Option | Beschreibung |
|---|---|
| `-i INTERFACE` | Gibt das Netzwerk-Interface an, von dem Pakete erfasst werden sollen. |
| `-n` | Verhindert die Umwandlung von IP-Adressen in Hostnamen. |
| `-v`, `-vv`, `-vvv` | Erhöht die Detailgenauigkeit der Ausgabe. |
| `-c COUNT` | Stoppt nach dem Erfassen von `COUNT` Paketen. |
| `-s SNAPLEN` | Setzt die maximale Paketgröße, die erfasst werden soll. |
| `-w FILE` | Schreibt die erfassten Pakete in eine Datei. |
| `-r FILE` | Liest erfasste Pakete aus einer Datei. |
| `-X` | Zeigt den Inhalt der Pakete in Hex- und ASCII-Form an. |
| `-A` | Zeigt die Pakete in ASCII an, anstatt in Hex. |
| `-tt` | Zeigt den Zeitstempel in der Ausgabe an. |
| `-f` | Filtert nach Protokolltyp, z.B. `tcp`, `udp`, `icmp`. |
| `-h` | Zeigt eine Hilfe mit den verfügbaren Optionen an. |
Beispiele
Pakete auf einem Interface anzeigen:
sudo tcpdump -i eth0
Erfasst Pakete auf dem Netzwerk-Interface `eth0` und zeigt sie in Echtzeit an.
Pakete auf einem bestimmten Port filtern:
sudo tcpdump -i eth0 port 80
Erfasst nur HTTP-Pakete, die über Port 80 gesendet werden.
Pakete nach IP-Adresse filtern:
sudo tcpdump -i eth0 host 192.168.1.1
Erfasst nur Pakete, die von oder zu der IP-Adresse `192.168.1.1` gesendet werden.
Pakete nach Protokolltyp filtern:
sudo tcpdump -i eth0 tcp
Erfasst nur TCP-Pakete.
Pakete in eine Datei speichern:
sudo tcpdump -i eth0 -w traffic.pcap
Speichert die erfassten Pakete in die Datei `traffic.pcap`.
Pakete aus einer Datei lesen:
sudo tcpdump -r traffic.pcap
Liest die in der Datei `traffic.pcap` gespeicherten Pakete und zeigt sie an.
Pakete bis zu einer bestimmten Anzahl erfassen:
sudo tcpdump -i eth0 -c 100
Erfasst 100 Pakete und beendet die Erfassung danach.
Paketinhalt anzeigen:
sudo tcpdump -i eth0 -X
Zeigt die Pakete im Hex- und ASCII-Format an.
Hinweis
- tcpdump benötigt Root-Rechte, um Netzwerkpakete zu erfassen. Dies wird in der Regel durch Voranstellen von `sudo` erreicht. - Die Ausgabe von tcpdump kann sehr umfangreich sein, daher ist es ratsam, Filteroptionen zu verwenden, um nur relevante Pakete zu erfassen. - Um die erfassten Daten zu analysieren, können sie in eine `.pcap`-Datei gespeichert und mit Tools wie Wireshark weiter untersucht werden.
Alternativen
Wireshark ist eine grafische Alternative zu tcpdump, die mehr Analysefunktionen bietet, aber auch ressourcenintensiver ist.
Weitere Informationen
Die Man-Page liefert d