tcpdump Grundlagen

tcpdump schneidet Netzwerktraffic direkt auf dem Server mit.
Praktisch wenn man verstehen will was wirklich über die Leitung geht — nicht was die Anwendung behauptet.

Grundlegende Verwendung

sudo tcpdump -i eth0

Zeigt alles auf dem Interface eth0 in Echtzeit. Meist zu viel auf einmal.

Nach Port filtern

sudo tcpdump -i eth0 port 80
sudo tcpdump -i eth0 port 443
sudo tcpdump -i eth0 'port 80 or port 443'

Nach IP filtern

sudo tcpdump -i eth0 host 1.2.3.4
sudo tcpdump -i eth0 src 1.2.3.4
sudo tcpdump -i eth0 dst 1.2.3.4

Kombiniert

sudo tcpdump -i eth0 'host 1.2.3.4 and port 80'

Lesbare Ausgabe

sudo tcpdump -i eth0 -n port 80

-n löst keine Hostnamen auf — schneller und übersichtlicher.

Paket-Inhalt anzeigen

sudo tcpdump -i eth0 -A port 80

-A zeigt den ASCII-Inhalt der Pakete. Nur für unverschlüsselten Traffic sinnvoll.

In Datei speichern

sudo tcpdump -i eth0 -w /tmp/traffic.pcap port 443

Die .pcap-Datei lässt sich mit Wireshark öffnen und dort komfortabler analysieren.

Interface herausfinden

ip link show

Oder alle Interfaces auf einmal überwachen.

sudo tcpdump -i any port 80