Startpagina > Netwerkbeheer > tcpdump

tcpdump: Netwerkverkeer dumpen en analyseren

tcpdump is een krachtig command-line tool voor het vastleggen en analyseren van TCP/IP en andere pakketten die via een netwerkinterface worden verzonden en ontvangen. U kunt specifieke pakketten filteren op basis van bepaalde criteria en ze in realtime weergeven of opslaan in een bestand voor latere analyse. Het wordt gebruikt voor diverse doeleinden, zoals het diagnosticeren van netwerkproblemen, beveiligingsaudits en het debuggen van applicaties.

Overzicht

tcpdump monitort netwerkinterfaces om pakketheaders vast te leggen en te interpreteren. Met behulp van verschillende filterexpressies kunt u selectief het gewenste verkeer bekijken en de vastgelegde gegevens weergeven op de standaarduitvoer of opslaan in een `.pcap`-bestand.

Belangrijkste functies

  • Real-time monitoring van netwerkinterfaces
  • Vastleggen van pakketten voor diverse protocollen (TCP, UDP, ICMP, etc.)
  • Ondersteuning voor krachtige filterexpressies
  • Opslaan en laden van vastgelegde gegevens in bestanden
  • Diagnose van netwerkproblemen en beveiligingsanalyse

Belangrijkste opties

tcpdump biedt een breed scala aan opties om het vastleggen, filteren en de uitvoerformaat nauwkeurig te regelen.

Vastleggen beheren

Uitvoerformaat

Filterexpressies

Gegenereerde opdracht:

Probeer de opdrachtcombinaties.

Uitleg:

`tcpdump` Voer het commando uit.

Combineer deze opties en voer de opdracht virtueel uit met de AI.

Gebruiksvoorbeelden

Voorbeelden die de diverse toepassingen van tcpdump demonstreren. In de meeste gevallen is root-privilege vereist.

Pakketten vastleggen op alle interfaces (standaard)

sudo tcpdump

Legt pakketten vast op alle actieve interfaces en toont ze in realtime. Stoppen met `Ctrl+C`.

Vastleggen op een specifieke interface

sudo tcpdump -i eth0

Legt al het verkeer vast dat plaatsvindt op de eth0-interface.

Verkeer van een specifieke host vastleggen

sudo tcpdump host 192.168.1.100

Legt al het verkeer vast dat gerelateerd is aan het IP-adres 192.168.1.100.

TCP-verkeer op een specifieke poort vastleggen

sudo tcpdump tcp port 80

Legt alleen TCP-pakketten vast op poort 80, wat webserver (HTTP) verkeer is.

Combineren van bron-IP en bestemmingspoort filteren

sudo tcpdump src host 192.168.1.50 and dst port 22

Legt verkeer vast waarbij het bron-IP 192.168.1.50 is en de bestemmingspoort 22 (SSH) is.

Vastgelegde pakketten opslaan in een bestand

sudo tcpdump -i eth0 -c 100 -w capture.pcap

Slaat de vastgelegde pakketten van de eth0-interface op in het bestand `capture.pcap`. De `-c 100` optie slaat slechts 100 pakketten op.

Pakketten lezen uit een opgeslagen bestand

tcpdump -r capture.pcap

Leest en toont de inhoud van het eerder opgeslagen bestand `capture.pcap`.

Alleen IP-adressen en poortnummers tonen (geen naamomzetting)

sudo tcpdump -nn

Toont alleen IP-adressen en poortnummers als getallen, zonder host- en servicenamen om te zetten, voor snelle controle.

Installatie

tcpdump is mogelijk niet standaard geïnstalleerd of wordt niet meegeleverd bij een minimale installatie op de meeste Linux-distributies. U kunt het installeren met de volgende commando's.

Debian/Ubuntu

sudo apt update
sudo apt install tcpdump

Installeert tcpdump met de APT-pakketbeheerder.

CentOS/RHEL/Fedora

sudo yum install tcpdump  # of dnf install tcpdump

Installeert tcpdump met de YUM- of DNF-pakketbeheerder.

Tips & Aandachtspunten

Tips en aandachtspunten voor het effectief gebruiken van tcpdump.

Rechtenproblemen

Het vastleggen van netwerkinterfaces vereist doorgaans root-rechten. Daarom moeten de meeste tcpdump-commando's worden uitgevoerd met `sudo`.

  • Voer altijd uit met `sudo tcpdump ...`
  • Het is mogelijk om specifieke gebruikers `CAP_NET_RAW`-rechten te geven om zonder `sudo` uit te voeren, maar wees voorzichtig met beveiliging.

Belang van filtering

In omgevingen met veel verkeer kan het uitvoeren van tcpdump zonder filtering leiden tot een enorme hoeveelheid uitvoer, wat analyse bemoeilijkt en de systeemprestaties kan beïnvloeden. Gebruik filterexpressies actief om alleen het benodigde verkeer vast te leggen.

  • Verwerp onnodig verkeer en leg alleen het benodigde verkeer vast
  • Filtering moet vóór het starten van de vastlegging worden toegepast voor efficiëntie.

Opslaan en analyseren van bestanden

Als realtime analyse moeilijk is of als u later gedetailleerd wilt analyseren, is het raadzaam om pakketten op te slaan in een `.pcap`-bestand met de `-w` optie. Opgeslagen bestanden kunnen gemakkelijker worden geanalyseerd met GUI-tools zoals Wireshark.

  • Sla grote hoeveelheden verkeer op met `-w` voor latere analyse
  • Wireshark is een tool die geoptimaliseerd is voor de analyse van `.pcap`-bestanden.

Prestatieoverwegingen

tcpdump kan aanzienlijke systeembronnen verbruiken. Vooral in omgevingen met hoge bandbreedte kan het vastleggen van volledige pakketten of het gebruik van complexe filters de CPU en schijf-I/O belasten.

  • Beperk de pakketlengte met de `-s` optie om bronnen te besparen
  • Beperk het aantal vast te leggen pakketten met de `-c` optie

Hétzelfde categoriecommando

aria2c

aria2c: Multi-protocol Download Manager

curl

curl: HTTP-verzoeken en bestandsoverdracht (stille modus)

curl

curl -I: HTTP-headers controleren

curl-verbose

curl-verbose: Gedetailleerde communicatie-informatie van curl weergeven

dig

dig: DNS-informatie opvragen