Benutzer-Werkzeuge

Webseiten-Werkzeuge


it:linux:tcpdump

tcpdump

Zeigt uns alle Netzwerkpackte auf der Ethernetkarte eth0 an.
Mit strg-c können wir es wieder abbrechen. das -n besagt dass wir keine Auflösung von IP-Adressen auf Hostnamen haben wollen, was die Sache beschleunigt und meist übersichtlicher macht.

tcpdump -n -i eth0   

oder

tcpdump –ni eth0
aber Vorsicht: Wenn wir den Befehl von remote Ausführen und z.B. via ssh auf dem Rechner eingeloggt sind und die Bildschirmausgaben von tcpdump wieder über die Leitung gehen auf der wir sniefen generieren wir ein Flut von Packeten… um das zu vermeiden schreiben wir z.b.:
tcpdump -ni eth0 not port 22 

das würde keine packte von Port 22 anzeigen, oder:

tcpdump -ni eth0 not host 12.34.56.78

das würde keine packte anzeigen die von oder zur IP 12.34.56.78 gehen. Wenn das unsere IP ist von der aus wir scanen dann sehen wir unseren eigenen Traffic auch nicht. Trotzdem kann es sein dass noch viel Netzwerk- traffic auf dem Interface ist. Damit wir das sehen was wir wollen können wir weiter einschränken.

tcpdump -ni eth0 icmp 

würde nur ICMP packte (pings, u.ä.) anzeigen.

tcpdump -ni eth0 arp

würde nur ARP-Pakete (address resolution protocol) anzeigen. ARP-Packete dienen dazu dass die Computer die Zuordnung zwischen der MAC-Adresse der Netzwerkkarte (Jede Netzwerkkarte weltweit hat eine eindeutige Adresse vom Hersteller) und der IP-Adresse der Netzwerkkarte Herzustellen.

Mit der Option -e sehen wir auch die MAC-Adressen der Packte. z.B.:

tcpdump  -nei eth0 arp
0:30:4f:b:5c:75 ff:ff:ff:ff:ff:ff 0806 42: arp who-has 33.44.6.1 tell 33.44.6.2
0:2:b3:1f:b1:fb 0:30:4f:b:5c:75 0806 60: arp reply 33.44.6.1 is-at 0:2:b3:1f:b1:fb

Hier unterhalten sich 2 Computer. Der Erste mit der MAC-Adresse 0:30:4f:b:5c:75 fragt mit einem ARP-Packet:

arp who-has 33.44.6.1 tell 33.44.6.2

Die Ziel MAC-Adresse besteht hier aus lauter „f“. Das ist die Broadcast-MAC-Adresse. Dieses Packet bekommen also immer alle Computer auf diesem Netzwerksegment zu sehen. Darauf meldet sich der Computer mit der MAC-Adresse 0:2:b3:1f:b1:fb und sagt auf welcher Netzwerkkarte die Gewünschte IP-Adresse gefunden wurde. arp reply 33.44.6.1 is-at 0:2:b3:1f:b1:fb

P.S:

Fall keinen tcpdump Paket gibt, rausfinden mit:

rpm -q | grep tcpdump*

herunterladen und mit

rpm -i <PacketName>   

installieren.

~~UP~~

it/linux/tcpdump.txt · Zuletzt geändert: 2019/05/14 21:16 von 127.0.0.1