tcpdump
Syntax
tcpdump <optionen> <filterausdruck>
Download
Kommandos
1. beendet die Aufzeichnung nach count mal
tcpdump -c count
2. zeigt auch die Data link Layer-Protokollinhalte an (u.a. MAC-Adressen)
tcpdump -e
3. zeichnet die Pakete an interfae auf
tcpdump -i interface
4. verhindert die Umwandlung von IP-Adressen und Port-Nummern in Namen bei der Ausgabe in der Konsole
tcpdump -n
5. Das Interface wird bei der Aufzeichnung in den Promiscuous Mode geschaltet
tcpdump -p
6. Die Datenpakete werden nicht an einem Interface, sondern aus der Datei file gelesen, die mit der Option -r geschrieben wurden
tcpdump -r file
7. wertet damit snaplen Bytes des Paketes aus
tcpdump -s snaplen
8. erhöht die Masse an Informationen
tcpdump -v, -vv, -vvv
9. die Datei werden vollständig in die Datei file geschrieben
tcpdump -w file
10. wird zusätzlich zur normalen Ausgabe auch im Hexformat ausgegeben
tcpdump -x
11. Die Ausgabe erfolgt auch noch im ASCII-Format
tcpdump -X
12. filtert und speichert nur Pakete, die vom Host 10.10.10.10 gesendet und empfangen worden sind
tcpdump -i eth0 -s 0 -w targeted_full_packet_dump.pcap 'host 10.10.10.10'
13. splittet die Ausgabe in 100 MB große Ausgabedateien
tcpdump -i eth0 -s 0 -C 100 -w rolling_split_100MB_dumps.pcap
14. filtert und speichert nur Pakete, bei dem das reservierte bit ungleich null ist, dabei ist das first bit Position 6 (byte offset 6)
tcpdump -i eth0 -s 0 -w RFC3514_evil_bits.pcap 'ip[6] & 0x80 != 0'
Quelle
- ¹ Michael Kofler et al., Hacking & Security - Das umfassende Handbuch, Rheinwerk Computing, 1. Auflage 2018, Seite 141-143
- ² Gerloni, Helmar; Oberhaitzinger, Barbara; Reiser, Helmut; Plate, Jürgen; Praxisbuch Sicherheit für Linux-Server und -Netze;Hanser Verlag, 2004; Seite 76-79
- ³ Davidoff, Sherri; Ham, Jonathan, Network Forensics; Prentice Hall, Pearson Education; 2012; Seite 63