Startseite > Netzwerkverwaltung > tcpdump

tcpdump: Netzwerkverkehr mitschneiden und analysieren

tcpdump ist ein leistungsstarkes Befehlszeilenwerkzeug zum Erfassen und Analysieren von TCP/IP- und anderen Paketen, die über eine Netzwerkschnittstelle gesendet und empfangen werden. Sie können nur Pakete filtern, die bestimmten Kriterien entsprechen, und sie in Echtzeit anzeigen oder zur späteren Analyse in einer Datei speichern. Es wird für eine Vielzahl von Zwecken verwendet, wie z. B. die Diagnose von Netzwerkproblemen, Sicherheitsaudits und die Fehlersuche bei Anwendungen.

Übersicht

tcpdump überwacht Netzwerkschnittstellen, um Paket-Header zu erfassen und zu interpretieren. Mit verschiedenen Filterausdrücken können Sie gezielt den gewünschten Datenverkehr auswählen und die erfassten Daten entweder auf der Standardausgabe anzeigen oder in einer .pcap-Datei speichern.

Hauptfunktionen

  • Echtzeitüberwachung von Netzwerkschnittstellen
  • Erfassung von Paketen verschiedener Protokolle (TCP, UDP, ICMP usw.)
  • Unterstützung für leistungsstarke Filterausdrücke
  • Speichern und Laden erfasster Daten in Dateien
  • Diagnose von Netzwerkproblemen und Sicherheitsanalyse

Wichtige Optionen

tcpdump bietet eine Vielzahl von Optionen, um das Erfassungsverhalten, die Filterung und das Ausgabeformat detailliert zu steuern.

Erfassung steuern

Ausgabeformat

Filterausdrücke

Erzeugter Befehl:

Kombinieren Sie die Befehle.

Beschreibung:

`tcpdump` Führen Sie den Befehl aus.

Kombinieren Sie diese Optionen und führen Sie die Befehle virtuell zusammen mit der KI aus.

Anwendungsbeispiele

Beispiele, die die verschiedenen Anwendungsmöglichkeiten von tcpdump demonstrieren. In den meisten Fällen sind Root-Rechte erforderlich.

Paketerfassung auf allen Schnittstellen (Standard)

sudo tcpdump

Erfasst Pakete auf allen aktiven Schnittstellen und gibt sie in Echtzeit aus. Beenden Sie mit Strg+C.

Erfassung auf einer bestimmten Schnittstelle

sudo tcpdump -i eth0

Erfasst den gesamten Datenverkehr auf der eth0-Schnittstelle.

Erfassung des Datenverkehrs eines bestimmten Hosts

sudo tcpdump host 192.168.1.100

Erfasst den gesamten Datenverkehr, der mit der IP-Adresse 192.168.1.100 verbunden ist.

Erfassung von TCP-Datenverkehr für einen bestimmten Port

sudo tcpdump tcp port 80

Erfasst nur TCP-Pakete für Port 80, den Webserver (HTTP)-Datenverkehr.

Kombinierte Filterung von Quell-IP und Ziel-Port

sudo tcpdump src host 192.168.1.50 and dst port 22

Erfasst Datenverkehr von der Quell-IP 192.168.1.50 an den Ziel-Port 22 (SSH).

Erfasste Pakete in einer Datei speichern

sudo tcpdump -i eth0 -c 100 -w capture.pcap

Speichert die auf der eth0-Schnittstelle erfassten Pakete in der Datei 'capture.pcap'. Mit '-c 100' werden nur 100 Pakete gespeichert.

Pakete aus einer gespeicherten Datei lesen

tcpdump -r capture.pcap

Liest und gibt den Inhalt der zuvor gespeicherten Datei 'capture.pcap' aus.

Nur IP-Adressen und Portnummern anzeigen (keine Namensauflösung)

sudo tcpdump -nn

Zeigt nur IP-Adressen und Portnummern als Zahlen an, ohne Host- und Servicenamen aufzulösen, um eine schnelle Überprüfung zu ermöglichen.

Installation

tcpdump ist auf den meisten Linux-Distributionen nicht standardmäßig enthalten oder wird bei einer Minimalinstallation möglicherweise nicht mitinstalliert. Sie können es mit den folgenden Befehlen installieren.

Debian/Ubuntu

sudo apt update
sudo apt install tcpdump

Installiert tcpdump mit dem APT-Paketmanager.

CentOS/RHEL/Fedora

sudo yum install tcpdump  # oder dnf install tcpdump

Installiert tcpdump mit dem YUM- oder DNF-Paketmanager.

Tipps & Hinweise

Tipps und Hinweise zur effektiven Nutzung von tcpdump.

Berechtigungsprobleme

Um Netzwerkschnittstellen zu erfassen, sind in der Regel Root-Rechte erforderlich. Daher müssen die meisten tcpdump-Befehle mit 'sudo' ausgeführt werden.

  • Immer mit 'sudo tcpdump ...' ausführen
  • Es ist möglich, einem bestimmten Benutzer die Berechtigung CAP_NET_RAW zu erteilen, um tcpdump ohne 'sudo' auszuführen, dies erfordert jedoch Vorsicht aus Sicherheitsgründen.

Wichtigkeit der Filterung

In Umgebungen mit hohem Datenverkehr kann die Ausführung von tcpdump ohne Filterung zu einer riesigen Datenmenge führen, die schwer zu analysieren ist und die Systemleistung beeinträchtigen kann. Nutzen Sie Filterausdrücke aktiv, um nur den benötigten Datenverkehr zu erfassen.

  • Unnötigen Datenverkehr verwerfen und nur benötigten Datenverkehr erfassen
  • Filterung sollte vor Beginn der Erfassung angewendet werden, um effizient zu sein.

Speichern und Analysieren von Dateien

Wenn eine Echtzeitanalyse schwierig ist oder Sie die Pakete später detailliert analysieren müssen, ist es ratsam, die Pakete mit der Option '-w' in einer .pcap-Datei zu speichern. Gespeicherte Dateien können mit GUI-Tools wie Wireshark bequemer analysiert werden.

  • Große Datenmengen mit '-w' speichern und dann analysieren
  • Wireshark ist ein für die Analyse von .pcap-Dateien optimiertes Werkzeug.

Leistungsaspekte

tcpdump kann erhebliche Systemressourcen beanspruchen. Insbesondere in Umgebungen mit hoher Bandbreite kann die Erfassung vollständiger Pakete oder die Verwendung komplexer Filter die CPU und die Festplatten-I/O belasten.

  • Speicherressourcen sparen, indem die zu erfassende Paketlänge mit der Option '-s' begrenzt wird
  • Die Anzahl der zu erfassenden Pakete mit der Option '-c' begrenzen

Gleiche Kategorie Befehle

aria2c

aria2c: Mehrprotokoll-Download-Manager

curl

curl -I: HTTP-Header-Informationen abrufen

curl

curl: Datenübertragung und Ausgabe über URLs

curl-verbose

curl-verbose: Ausgabe detaillierter Kommunikationsinformationen von curl

dig

dig: DNS-Informationen abfragen