Versions Compared

Old Version 1

changes.mady.by.user Carsten Rehberg

Saved on

compared with

New Version Current

changes.mady.by.user Carsten Rehberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Info

http://qwww.tcpdump.org

https://www.winpcap.org/windump

Quelle

...

tcp command-line usage

ParamBeschreibung
-iListen on interface (eth0, en1, 2)
-ndo not resolve addresses to names
-rread packets from pcap file
-wwrite packets to pcap file
-sCange the snapshot length from the default
-Cwith -w, limit the capture file size, and begin a new file when it is exceeded
-WWith -C, limit the number of capture files created, and begin overwriting and rotating when necessary
-DList available adapters (WinDump only)

Kommandos

Code Block
title1. beendet die Aufzeichnung nach count mal
tcpdump -c count


Code Block
title2. zeigt auch die Data link Layer-Protokollinhalte an (u.a. MAC-Adressen)
tcpdump -e


Code Block
title3. zeichnet die Pakete an interfae auf
tcpdump -i interface


Code Block
title4. verhindert die Umwandlung von IP-Adressen und Port-Nummern in Namen bei der Ausgabe in der Konsole
tcpdump -n


Code Block
title5. Das Interface wird bei der Aufzeichnung in den Promiscuous Mode geschaltet
tcpdump -p


Code Block
title6. Die Datenpakete werden nicht an einem Interface, sondern aus der Datei file gelesen, die mit der Option -r geschrieben wurden
tcpdump -r file


Code Block
title7. wertet damit snaplen Bytes des Paketes aus
tcpdump -s snaplen


Code Block
title8. erhöht die Masse an Informationen
tcpdump -v, -vv, -vvv


Code Block
title9. die Datei werden vollständig in die Datei file geschrieben
tcpdump -w file


Code Block
title10. wird zusätzlich zur normalen Ausgabe auch im Hexformat ausgegeben
tcpdump -x


Code Block
title11. Die Ausgabe erfolgt auch noch im ASCII-Format
tcpdump -X


Code Block
title12. filtert und speichert nur Pakete, die vom Host 10.10.10.10 gesendet und empfangen worden sind
tcpdump -i eth0 -s 0 -w targeted_full_packet_dump.pcap 'host 10.10.10.10'


Code Block
title13. splittet die Ausgabe in 100 MB große Ausgabedateien
tcpdump -i eth0 -s 0 -C 100 -w rolling_split_100MB_dumps.pcap


Code Block
title14. filtert und speichert nur Pakete, bei dem das reservierte bit ungleich null ist, dabei ist das first bit Position 6 (byte offset 6)
tcpdump -i eth0 -s 0 -w RFC3514_evil_bits.pcap 'ip[6] & 0x80 != 0'


Quelle

  • ¹ Michael Kofler et al., Hacking & Security - Das umfassende Handbuch, Rheinwerk Computing, 1. Auflage 2018, Seite 141-143
  • ² Gerloni, Helmar; Oberhaitzinger, Barbara; Reiser, Helmut; Plate, Jürgen; Praxisbuch Sicherheit für Linux-Server und -Netze;Hanser Verlag, 2004; Seite 76-79
  • ³ Davidoff, Sherri; Ham, Jonathan, Network Forensics; Prentice Hall, Pearson Education; 2012; Seite 62/63