Inhaltsverzeichnis
tcpdump Aufruf und Optionen
der einfachste Aufruf von tcpdump:
tcpdump -i eth1
keine Namesauflösung und keine Übersetzung von Portnummern in Protokollnamen
tcpdump -i eth1 -n
Ausgabe in Datei speichern
tcpdump -i eth1 -w tmp/test.pcap
weitere Optionen (kleine Auswahl)
-v|-vv|-vvv : verbose level
-t : kein Zeitstempel
-ttt : Zeit seit dem letzten aufgezeichneten Paket
-ttttt : Zeit seit dem ersten aufgezeichneten Paket
Filter Beispiele
Ping anzeigen
Auf Interface eth2
tcpdump -i eth2 'icmp[icmptype] == icmp-echo and icmp[icmptype] == icmp-echoreply'
Protokoll anzeigen
Auf Interface eth0 tcp/8080
tcpdump -i eth0 tcp port 8080
Daten nach Host filtern
Auf Interface eth0 host 101.1.1.11
tcpdump -i eth0 host 101.1.1.11
Auf Interface eth0 host 101.1.1.11 ausschließen
tcpdump -i eth0 not host 101.1.1.11
Daten nach Protokoll filtern
Auf Interface eth0 Protokoll ARP und STP ausschließen
tcpdump -i eth0 not arp and not stp
TCP-Flags: SYN, RST, ACK etc.
Es gibt zwei Möglichkeiten nach tcp-Flags zu filtern.
tcp[13]
wertet das Control-Flag-Feld des TCP-Headers aus.
Oder
tcp[tcpflags]
- tcp-syn
- tcp-ack
- tcp-fin
- tcp-rst
- tcp-push
- tcp-urg
SYN Paket
tcpdump 'tcp[13] & 2 != 0'
oder
tcpdump 'tcp[tcpflags] & tcp-syn != 0'
ACK Paket
tcpdump 'tcp[13] & 16 != 0'
oder
tcpdump 'tcp[tcpflags] & tcp-ack != 0'
SYN ACK Pakete
tcpdump 'tcp[13] = 18'
FIN Pakete
tcpdump 'tcp[13] & 1 != 0'
oder
tcpdump 'tcp[tcpflags] & tcp-fin != 0'
RST Paket
tcpdump 'tcp[13] & 4 != 0'
oder
tcpdump 'tcp[tcpflags] & tcp-rst != 0'
SYN/ACK Paket
tcpdump 'tcp[13] & 0x12 != 0'
oder
tcpdump 'tcp[tcpflags] & (tcp-syn & tcp-ack) != 0'
cdp neighbors Informationen
tcpdump -i eth0 -v -s 1500 -c 1 '(ether[12:2]=0x88cc or ether[20:2]=0x2000)'