tcpdump-Spickzettel
Alle im PDF und JPG des Spickzettels enthaltenen Tabellen sind auch in dargestellt Tabellen unten die einfach zu kopieren und einzufügen sind.
Der tcpdump-Spickzettel umfasst:
- Installationsbefehle
- Optionen zur Paketerfassung
- Logische Operatoren
- Anzeige-/Ausgabeoptionen
- Protokolle
- Allgemeine Befehle mit Protokollen zum Filtern von Captures
Siehe auch: Die 10 besten Paketanalysatoren
Sehen Sie sich das Spickzettel-JPG-Bild an oder laden Sie es herunter
Klicken Sie mit der rechten Maustaste auf das Bild unten, um die JPG-Datei (2500 Breite x 1803 Höhe in Pixel) zu speichern, oder Klicken Sie hier, um es in einem neuen Browser-Tab zu öffnen . Sobald das Bild in einem neuen Fenster geöffnet wird, müssen Sie möglicherweise auf das Bild klicken, um es zu vergrößern und das JPG in voller Größe anzuzeigen.
Sehen Sie sich die Spickzettel-PDF-Datei an oder laden Sie sie herunter
Sie können die herunterladen PDF-Datei hier . Wenn es in einem neuen Browser-Tab geöffnet wird, klicken Sie einfach mit der rechten Maustaste auf die PDF-Datei und navigieren Sie zur Auswahl zum Herunterladen/Speichern, die sich normalerweise in der oberen rechten Ecke des Bildschirms befindet.
Verwandter Beitrag: Was ist tcpdump?
Was ist im Spickzettel enthalten?
Die folgenden Kategorien und Gegenstände wurden in den Spickzettel aufgenommen:
Installationsbefehle
CENT OS und REDHAT | $ sudo yum installiere tcpdump |
Fedora | $ dnf tcpdump installieren |
Ubuntu, Debian und Linux Mint | #apt-get install tcpdump |
Optionen zur Paketerfassung
Schalten | Syntax | Beschreibung |
-ich irgendjemand | tcpdump -i beliebig | Erfassung von allen Schnittstellen |
-in eth0 | tcpdump -i eth0 | Erfassung von einer bestimmten Schnittstelle (Ex Eth0) |
-C | tcpdump -i eth0 -c 10 | Erfassen Sie die ersten 10 Pakete und beenden Sie den Vorgang |
-D | tcpdump -D | Verfügbare Schnittstellen anzeigen |
-A | tcpdump -i eth0 -A | Drucken Sie in ASCII |
-In | tcpdump -i eth0 -w tcpdump.txt | Um die Aufnahme in einer Datei zu speichern |
-R | tcpdump -r tcpdump.txt | Lesen und analysieren Sie die gespeicherte Capture-Datei |
-N | tcpdump -n -I eth0 | Hostnamen nicht auflösen |
-nn | tcpdump -n -i eth0 | Stoppen Sie die Übersetzung und Suche von Domänennamen (Hostnamen oder Portnamen). |
TCP | tcpdump -i eth0 -c 10 -w tcpdump.pcap tcp | Nur TCP-Pakete erfassen |
Hafen | tcpdump -i eth0 Port 80 | Erfassen Sie nur Datenverkehr von einem definierten Port |
Gastgeber | tcpdump-Host 192.168.1.100 | Erfassen Sie Pakete von einem bestimmten Host |
Netz | tcpdump net 10.1.1.0/16 | Erfassen Sie Dateien aus dem Netzwerksubnetz |
src | tcpdump src 10.1.1.100 | Erfassung von einer bestimmten Quelladresse |
dst | tcpdump dst 10.1.1.100 | Erfassung von einer bestimmten Zieladresse |
| tcpdump http | Filtern Sie den Datenverkehr basierend auf einer Portnummer für einen Dienst |
| TCPdump-Port 80 | Filtern Sie den Datenverkehr basierend auf einem Dienst |
Portbereich | tcpdump-Portbereich 21-125 | Filtern Sie basierend auf dem Portbereich |
-S | tcpdump -S http | Gesamtes Paket anzeigen |
IPv6 | tcpdunp -IPV6 | Nur IPV6-Pakete anzeigen |
-D | tcpdump -d tcpdump.pcap | Anzeige einer für Menschen lesbaren Form in der Standardausgabe |
-F | tcpdump -F tcpdump.pcap | Verwenden Sie die angegebene Datei als Eingabe für den Filter |
-ICH | tcpdump -I eth0 | Stellen Sie die Schnittstelle als Monitormodus ein |
-L | tcpdump -L | Datenverbindungstypen für die Schnittstelle anzeigen |
-N | tcpdump -N tcpdump.pcap | Domian-Namen werden nicht gedruckt |
-K | tcpdump -K tcpdump.pcap | Prüfsumme nicht überprüfen |
-P | tcpdump -p -i eth0 | Keine Aufnahme im Promiscuous-Modus |
Logische Operatoren
Operator | Syntax | Beispiel | Beschreibung |
UND | Und, && | tcpdump -n src 192.168.1.1 und dst port 21 | Kombinieren Sie Filteroptionen |
ODER | oder, || | tcpdump dst 10.1.1.1 && !icmp | Jede der Bedingungen kann zutreffen |
AUSSER | nicht, ! | tcpdump dst 10.1.1.1 und nicht icmp | Negation der Bedingung |
WENIGER | < | tcpdump<32 | Zeigt Pakete mit einer Größe von weniger als 32 an |
GRÖSSER | > | tcpdump >=32 | Zeigt Pakete mit einer Größe von mehr als 32 an |
Anzeige-/Ausgabeoptionen
Schalten | Beschreibung |
-Q | Ganz und im weniger ausführlichen Modus werden weniger Details angezeigt |
-T | Drucken Sie keine Zeitstempeldetails im Dump |
-In | Wenig ausführliche Ausgabe |
-vv | Ausführlichere Ausgabe |
-Touristeninformation | Die ausführlichste Ausgabe |
-X | Drucken Sie Daten und Header im HEX-Format |
-xx | Drucken Sie Daten mit Link-Headern im HEX-Format |
-X | Druckausgabe im HEX- und ASCII-FormatausschließlichLink-Header |
-XX | Druckausgabe im HEX- und ASCII-FormateinschließlichLink-Header |
-Und | Link-Header (Ethernet) drucken |
-S | Drucken Sie Sequenznummern im exakten Format |
Protokolle
Ether, FDDI, ICMP, IP, IP6, PPP, Radio, RARP, Slip, TCP, UDP, WLAN |
Allgemeine Befehle mit Protokollen zum Filtern von Captures
src/dsthost (Hostname oder IP) | Filtern Sie nach Quell- oder Ziel-IP-Adresse oder Host |
ether src/ dst host (Ethernet-Hostname oder IP) | Ethernet-Host-Filterung nach Quelle oder Ziel |
src/dstnet (Subnetzmaske in CIDR) | Nach Subnetz filtern |
TCP/UDP SRC/DST-Port (Portnummer) | Filtern Sie TCP- oder UDP-Pakete nach Quell- oder Zielport |
TCP/UDP-SRC/DST-Portbereich (Portnummernbereich) | Filtern Sie TCP- oder UDP-Pakete nach Quell- oder Zielportbereich |
Ether/IP-Broadcast | Filtern Sie nach Ethernet- oder IP-Broadcasts |
Ether/IP-Multicast | Filtern Sie nach Ethernet- oder IP-Multicasts |
tcpdump-FAQs
Wie filtert man MAC-Adressen mit tcpdump?
Benutzen Sie die Gastgeber Option im Befehl tcpdump, um die Ausgabe auf eine bestimmte MAC-Adresse zu beschränken: tcpdump Ether-Host aa:bb:cc:11:22:33
Wie verwende ich tcpdump auf einem bestimmten Port?
Benutzen Sie die Hafen Option im Befehl tcpdump, um einen Port anzugeben: tcpdump Ether-Port 80
Wie liest man die TCPdump-Ausgabe?
Auf tcpdump gibt es eine Leseoption, die durch den Schalter dargestellt wird -R wie in: tcpdump -r Dateipfad und -name