tcpdump
Zeigt uns alle Netzwerkpackte auf der Ethernetkarte eth0 an.
Mit strg-c können wir es wieder abbrechen. das -n besagt dass wir keine
Auflösung von IP-Adressen auf Hostnamen haben wollen, was die Sache
beschleunigt und meist übersichtlicher macht.
tcpdump -n -i eth0
oder
tcpdump –ni eth0
tcpdump -ni eth0 not port 22
das würde keine packte von Port 22 anzeigen, oder:
tcpdump -ni eth0 not host 12.34.56.78
das würde keine packte anzeigen die von oder zur IP 12.34.56.78 gehen. Wenn das unsere IP ist von der aus wir scanen dann sehen wir unseren eigenen Traffic auch nicht. Trotzdem kann es sein dass noch viel Netzwerk- traffic auf dem Interface ist. Damit wir das sehen was wir wollen können wir weiter einschränken.
tcpdump -ni eth0 icmp
würde nur ICMP packte (pings, u.ä.) anzeigen.
tcpdump -ni eth0 arp
würde nur ARP-Pakete (address resolution protocol) anzeigen. ARP-Packete dienen dazu dass die Computer die Zuordnung zwischen der MAC-Adresse der Netzwerkkarte (Jede Netzwerkkarte weltweit hat eine eindeutige Adresse vom Hersteller) und der IP-Adresse der Netzwerkkarte Herzustellen.
Mit der Option -e sehen wir auch die MAC-Adressen der Packte. z.B.:
tcpdump -nei eth0 arp 0:30:4f:b:5c:75 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 33.44.6.1 tell 33.44.6.2 0:2:b3:1f:b1:fb 0:30:4f:b:5c:75 0806 60: arp reply 33.44.6.1 is-at 0:2:b3:1f:b1:fb
Hier unterhalten sich 2 Computer. Der Erste mit der MAC-Adresse 0:30:4f:b:5c:75 fragt mit einem ARP-Packet:
arp who-has 33.44.6.1 tell 33.44.6.2
Die Ziel MAC-Adresse besteht hier aus lauter „f“. Das ist die Broadcast-MAC-Adresse. Dieses Packet bekommen also immer alle Computer auf diesem Netzwerksegment zu sehen. Darauf meldet sich der Computer mit der MAC-Adresse 0:2:b3:1f:b1:fb und sagt auf welcher Netzwerkkarte die Gewünschte IP-Adresse gefunden wurde. arp reply 33.44.6.1 is-at 0:2:b3:1f:b1:fb
P.S:
Fall keinen tcpdump Paket gibt, rausfinden mit:
rpm -q | grep tcpdump*
herunterladen und mit
rpm -i <PacketName>
installieren.
~~UP~~