Benutzer-Werkzeuge

Webseiten-Werkzeuge


tcpdump

Inhaltsverzeichnis

tcpdump

tcpdump ist ein kleines Tool, mit dem sich die über das Netzwerk verschickten und empfangenen Pakete protokollieren lassen. Es bietet umfangreiche Filtermöglichkeiten und kann beispielsweise nur bestimmte Rechner oder Portnummern berücksichtigen. So lassen sich Probleme im Netzwerkbereich manchmal schnell eingrenzen.

Installation

Ein fertiges Tar-File ist im Forum unter Downloads hinterlegt. Dieses kopiert man einfach auf dem üblichen Weg in den Import-Ordner und meldet sich dann auf dem Hifidelio an. Das Paket wird dann mit dem Kommando

root@hifideliopro:~# tar -x -z -f /audio/import/tcpdump-3.6.2-11.7.2.0.tar.gz -C /

installiert.

Aufruf

Das Programm wird einfach aus der Shell gestartet. Der Parameter -n sorgt hier dafür, daß die IP-Adressen nicht in Hostnamen übersetzt werden (was wieder zusätzliche Pakete über das Netz schicken würde). Bei mir sehen im Moment die ersten Zeilen so aus:

root@hifideliopro:~# tcpdump -n
tcpdump: listening on bridge0
10:44:32.645770 192.168.1.41.ssh > 192.168.1.3.51065: P 1351810312:1351810388(76) ack 2500603170   win 1
10:44:32.648258 192.168.1.3.51065 > 192.168.1.41.ssh: . ack 76 win 32923 <nop,nop,timestamp 6901093 57
10:44:32.859275 217.196.35.28.www > 192.168.1.41.1026: . ack 298015427 win 864 (DF)
10:44:32.859498 192.168.1.41.1026 > 217.196.35.28.www: . ack 1 win 0 (DF)
10:44:33.555205 217.196.35.28.www > 192.168.1.41.1026: . ack 1 win 864 (DF)
10:44:33.555424 192.168.1.41.1026 > 217.196.35.28.www: . ack 1 win 0 (DF)
10:44:33.875988 192.168.1.41.1026 > 217.196.35.28.www: . ack 1 win 29040 (DF)
10:44:33.938785 217.196.35.28.www > 192.168.1.41.1026: . 1:1453(1452) ack 1 win 864 (DF)
10:44:33.939037 192.168.1.41.1026 > 217.196.35.28.www: . ack 1453 win 27588 (DF)
10:44:33.940378 217.196.35.28.www > 192.168.1.41.1026: . 1453:2905(1452) ack 1 win 864 (DF)

Die erste Spalte gibt die Uhrzeit mit Sekundenbruchteilen an. Danach kommt die sendene Station mit IP-Adresse und Port-Nummer. Nach dem Pfeil dann die empfangende Station mit IP-Adresse und Portnummer. Der Rest sind dann protokollspezifische Datails.

Im Beispiel erkennt man zwei unterschiedliche Verbindungen. Einmal die SSH-Verbindung von meinem Arbeitsplatz (IP: 192.168.1.3) an den HF (IP: 192.168.1.41). Die andere Verbindung ist das laufende Internetradio, was über den Port 80 (www) der IP-Adresse 217.196.35.28 kommt.

Manpage

Die Manpage von tcpdump ist unter http://www.tcpdump.org/tcpdump_man.html abrufbar. Es werden allerdings nicht alle dort beschriebenen Optionen unterstützt:

root@hifideliopro:~# tcpdump -h
tcpdump version 3.6.3
libpcap version 0.6
Usage: tcpdump [-adeflnNOpqRStuvxX] [-c count] [ -F file ]
                [ -i interface ] [ -r file ] [ -s snaplen ]
                [ -T type ] [ -U user ] [ -w file ] [ expression ]

Interessant ist manchmal die Option -X, mit der die Paketinhalte in Hex und Ascii ausgegeben werden. Dazu benötigt man oft die Option -s, um die Pakete nicht abzuschneiden.

tcpdump.txt · Zuletzt geändert: 2008/02/24 10:58 von cenic