TCPDUMP: Pakete am Linux Server tracen

Interfaces

Liste der Interfaces, die zur Verfügung stehen
tcpdump -D

Höre auf interface eth0:
tcpdump -i eth0

Höre auf jedem interface
tcpdump -i any

Detaillgrad

Wenig Ausgabe:
tcpdump -v

Noch weniger Ausgabe:
tcpdump -vv

Fast keine Ausgabe:
tcpdump -vvv

Datenmenge

Capture auf 100 Pakete beschränken:
tcpdump -c 100

Dateioperationen

Packet capture aufnehmen in Datei capture.cap:
tcpdump -w capture.cap

Packet capture aufnehmen in Datei capture.cap, zeige jedoch in real time die mitgeschnittenen Pakete:
tcpdump -v -w capture.cap

Zeige die Pakete aus capture.cap:
tcpdump -r capture.cap

Zeige Pakete sehr detailliert aus Datei capture.cap:
tcpdump -vvv -r capture.cap

DNS

IPs anstelle Domain-Namen anzeigen:
tcpdump -n

IP-, Port- und Protokollfilter

tcpdump -n dst host 192.168.1.1

tcpdump -n src host 192.168.1.1

tcpdump -n host 192.168.1.1

tcpdump -n dst net 192.168.1.0/24

tcpdump -n src net 192.168.1.0/24

tcpdump -n net 192.168.1.0/24

tcpdump -n dst port 23

tcpdump -n dst portrange 1-1023

tcpdump -n tcp dst portrange 1-1023

tcpdump -n udp dst portrange 1-1023

tcpdump -n „dst host 192.168.1.1 and dst port 23“

tcpdump -n „dst host 192.168.1.1 and (dst port 80 or dst port 443)“

tcpdump -v icmp

tcpdump -v arp

tcpdump -v „icmp or arp“

tcpdump -n „broadcast or multicast“

tcpdump -s 500

Das komplette Paket mitschneiden
tcpdump -s 0