tcpdump Befehl

tcpdump ist ein bekannter Paket-Sniffer für die Kommandozeile, der Ihnen ermöglicht, den ganzen Verkehr auf den angeschlossenen Netzwerkschnittstellen abzuhören und auf dem Bildschirm anzuzeigen oder in einer Datei zu speichern. Der tcpdump Befehl wird benutzt, um Probleme in Programmen, die über das Netzwerk kommunizieren, zu finden.

Wenn das Programm tcpdump ohne Optionen gestartet wird, wird es alle Pakete, die alle Netzwerkschnittstellen passieren, mitschneiden:

linux tcpdump befehl

Sie können eine bestimmte Netzwerkschnittstelle mit der -i Option festlegen:

linux tcpdump eth0

Nachdem es gestartet ist, zeigt das Programm tcpdump die erfassten Pakete auf dem Bildschirm. Die Ausgabe enthält den Zeitstempel (timestamp), das Protokoll des Pakets (IP im Beispiel oben), den Absender und Empfänger des Pakets mit ihrer jeweiligen Portnummer sowie spezifische Informationen über jedes Paket. tcpdump läuft bis man Strg-c drückt.

Schauen Sie sich zum Beispiel die folgende Linie an:

linux tcpdump beispiel

20:38:29.014324 – der Zeitstempel.
IP – das Protokoll des Pakets.
text-lb.esams.wikimedia.org.http – der Absender (text-lb.esams.wikimedia.org) und die Portnummer (http=80).
192.168.198.128.54543 – der Empfänger (192.168.198.128) und die Portnummer (54543).
ack 2 win 64239 – spezifische Informationen über das Paket.

Um den Inhalt eines Pakets als ASCII auszugeben, benutzt man die -A Option:

linux tcpdump ascii

Um nur Pakete zu erfassen, die entweder als Quelle oder als Ziel die IP-Adresse 192.168.198.2 besitzen, geben Sie den folgenden Befehl ein:

linux tcpdump host

Um nur die Pakete eines bestimmten Protokolltyps zu erfassen, müssen Sie das Protokoll bestimmen. Um beispielsweise nur die TCP-Pakete zu erfassen, benutzt man den folgenden Befehl:

linux tcpdump tcp

Um nur Pakete zu erfassen, die entweder auf Quell- oder auf Ziel-Seite den angegebenen Port besitzen, benutzt man die -port Option:

linux tcpdump port

Um den Zeitstempel im Standardformat mit dem Datum am Zeilenanfang auszugeben, benutzt man die -tttt Option:

linux tcpdump timestamp

Um die Pakete in eine Datei zu speichern, benutzt man die -w Option:

linux tcpdump ausgabe speichern

Um eine tcpdump-Datei auf dem Bildschirm anzuzeigen, benutzt man die -r Option:

linux tcpdump datei lesen

 

Die Ausgabe von tcpdump lässt sich auch in grafischen Werkzeugen analysieren wie z.B. in Wireshark.
Geek University 2022