In diesem Beitrag lernen Sie den Befehl tcpdump kennen. tcpdump ist eine freie Software, welche unter UNIX- bzw. Linux-Betriebssystemen zur Überwachung und Auswertung von Netzwerkverkehr eingesetzt werden kann. Neben TCP-Paketen können auch UDP- und ICMP-Pakete erfasst werden. Für die administrativen Aufgaben im Umfeld von UNIX\/Linux ist dieser Befehl sehr hilfreich.<\/p>\n
Obwohl es sich bei tcpdump um ein reines Kommandozeilenwerkzeug handelt, ist es mithilfe weiterer Software, wie etwa Wireshark, auch möglich die Ausgaben von tcpdump grafisch zu analysieren.<\/p>\n
Der Befehl tcpdump <\/strong>ist in einem gleichnamigen Paket enthalten und nicht auf allen Betriebssystemen<\/a> vorinstalliert. Die Installation mit dem Paketmanager apt <\/strong>erfolgt folgendermaßen:<\/p>\n Weitere Informationen zur Paket- und Quellenverwaltung mit dem Paketmanager apt <\/strong>finden Sie in unserem zugehörigen Beitrag<\/a>.<\/p>\n tcpdump <\/strong>muss mit Root-Rechten ausgeführt werden, um das Mitschneiden von Paketen zu ermöglichen. Der Befehl wird dann mit der folgenden Syntax<\/a> aufgerufen:<\/p>\n Wird der Befehl ohne jegliche Optionen und Filter ausgeführt, so werden standardmäßig alle Pakete mitgeschnitten, geparst und formatiert im Terminal<\/a> ausgegeben. tcpdump <\/strong>fährt, sofern es nicht mit der Option -c<\/strong> ausgeführt wurde, mit der Erfassung von Paketen fort, bis es durch ein SIGINT-Signal (Interrupt-Signal) unterbrochen wird – etwa durch Eingabe der Tastenkombination [STRG + C]<\/strong>.<\/p>\n Im Folgenden werden einige der wichtigsten Optionen des Befehls tcpdump <\/strong>vorgestellt.<\/p>\n Alle Pakete werden (abzüglich ihrer Link-Level-Header) als ASCII ausgegeben. Die Option kann somit gut zur Erfassung von Webinhalten verwendet werden.<\/p>\n Mithilfe der Option -c<\/strong> lässt sich eine maximale Anzahl Pakete festlegen, nach deren Erfassung tcpdump <\/strong>automatisch beendet wird.<\/p>\n Die Option -C<\/strong> ermöglicht die Festlegung einer maximalen Dateigröße während dem Schreiben in eine angegebene Datei (mit der Option -w<\/strong>). Vor dem Schreiben eines rohen Pakets in die Datei wird dazu zunächst überprüft, ob die aktuelle Dateigröße die angegebene Größe überschreitet. Ist dies der Fall, wird die aktuelle Datei geschlossen und eine neue Datei angelegt, wobei der Dateiname mit der Angabe nach der Option -w<\/strong> beginnt und mit einer Nummer (1 und aufwärts) endet.<\/p>\n Die Angabe der Dateigröße erfolgt in Millionen Bytes (1.000.000 Bytes):<\/p>\n Durch Setzen der Option -e<\/strong> wird auch der Ethernet-Header mitgeschnitten.<\/p>\n Mithilfe der Option -i<\/strong> kann die zu überwachende Netzwerkschnittstelle spezifiziert werden. Wird die Option nicht angegeben, durchsucht tcpdump <\/strong>die Systemschnittstellenliste nach der am niedrigsten nummerierten, konfigurierten Schnittstelle (Loopback ausgeschlossen) – beispielsweise “eth0”.<\/p>\n Wird die Option -n<\/strong> angegeben, so löst tcpdump <\/strong>keine Hostnamen auf und ersetzt Portnummern zudem nicht durch ihre Dienste.<\/p>\n Durch die Option -q<\/strong> gibt tcpdump <\/strong>weniger Protokollinformationen aus, um die Ausgabe zu verkürzen.<\/p>\n Mit der Option -r<\/strong> kann eine Datei, welche mit der Option -w<\/strong> erstellt wurde, eingelesen, geparst und schließlich im Terminal ausgegeben werden. <\/p>\n Mithilfe der in dieser Option angegebenen Anzahl v´s (1-3) wird spezifiziert, wie viele Informationen tcpdump <\/strong>speichern soll. Eine höhere Anzahl v´s steht für genauere Informationen. <\/p>\n Mithilfe der Option -w<\/strong> können die rohen Pakete in eine Datei geschrieben werden, statt diese zu parsen und im Terminal auszugeben. Die geschriebenen Pakete können zu einem späteren Zeitpunkt mit tcpdump <\/strong>und der Option -r<\/strong> ausgegeben werden. <\/p>\n Wird als Dateipfad “-” angegeben, so schreibt tcpdump <\/strong>die Daten in den Standardoutput (stdout).<\/p>\n Wenn tcpdump <\/strong>mit Root-Rechten ausgeführt wird, ändert die Option -Z<\/strong> – nach dem Öffnen der zu erfassenden Netzwerkschnittstelle bzw. der mit -r zu parsenden Datei, aber vor dem Öffnen der Ausgabedatei – die Benutzer-ID auf die des angegebenen Benutzers und die Gruppen-ID auf dessen primäre Benutzergruppe. Die Option senkt somit das durch die Ausführung von tcpdump <\/strong>mit Root-Rechten bzw. dem gesetzten Setuid-Bit einhergehende Sicherheitsrisiko. <\/p>\n Die Angabe des Benutzers erfolgt entweder mit ausgeschriebenem Namen oder allgemein mit “$USER”.<\/p>\n In diesem Abschnitt werden einige Filteroptionen von tcpdump <\/strong>gezeigt. Ein Filter besteht grundsätzlich aus einer Filteroption sowie einem oder mehreren Werten, welche auf die Option folgen. Werden keine Werte angegeben, so wird immer alles mitgeschnitten.<\/p>\n Die Angabe mehrerer Filter ist mithilfe der Ausdrücke “and”<\/strong>, “or” <\/strong>und “not” <\/strong>möglich. Weiterhin können Ausdrücke auch mit “()” <\/strong>geklammert werden.<\/p>\napt-get install tcpdump<\/pre>\n
Allgemeine Syntax<\/h2>\n
tcpdump [Optionen] [Filter]<\/pre>\n
Wichtige Optionen<\/h2>\n
-A – Paketinhalt als ASCII ausgeben<\/h3>\n
tcpdump -A [Filter]<\/pre>\n
-c – tcpdump nach X Paketen beenden<\/h3>\n
tcpdump -c [Anzahl] [Filter]<\/pre>\n
-C – Maximale Dateigröße festlegen<\/h3>\n
tcpdump -C [Dateigröße] [Filter]<\/pre>\n
-e – Ethernet-Header mitschneiden<\/h3>\n
tcpdump -e [Filter]<\/pre>\n
-i – Netzwerkschnittstelle spezifizieren<\/h3>\n
tcpdump -i [Schnittstelle] [Filter]<\/pre>\n
-n – Hostnamen nicht auflösen<\/h3>\n
tcpdump -n [Filter]<\/pre>\n
-q – Protokollinformationen kürzen<\/h3>\n
tcpdump -q [Filter]<\/pre>\n
-r – Pakete aus Datei lesen<\/h3>\n
tcpdump -r [Dateipfad] [Filter]<\/pre>\n
-v – Informationen limitieren (-vv, -vvv)<\/h3>\n
tcpdump [-v \/ -vv \/ -vvv] [Filter]<\/pre>\n
-w – Pakete in Datei schreiben<\/h3>\n
tcpdump -w [Dateipfad] [Filter]<\/pre>\n
-Z – Benutzer-(gruppe) festlegen<\/h3>\n
tcpdump -Z [Benutzer] [Filter]<\/pre>\n
Filter<\/h2>\n