Der Befehl Tcpdump ist ein bekanntes Tool zur Analyse von Netzwerkpaketen, das zur Anzeige von TCP/IP- und anderen Netzwerkpaketen verwendet wird, die über das Netzwerk übertragen werden, das an das System angeschlossen ist, auf dem tcpdump installiert wurde. Tcpdump verwendet die libpcap-Bibliothek zum Erfassen der Netzwerkpakete und ist auf fast allen Linux-/Unix-Varianten verfügbar.
Tcpdump ist eines der besten Netzwerkanalyse-Tools überhaupt für Informationssicherheitsexperten. Tcpdump ist für alle gedacht, für Hacker und Leute, die weniger TCP/IP-Kenntnisse haben.
tcpdump -X ....
tcpdump -XX
tcpdump -D
tcpdump -l
tcpdump -q
tcpdump -t :
tcpdump -tttt :
tcpdump -i eth0
tcpdump -vv
tcpdump -c
tcpdump -s
tcpdump -S
tcpdump -e
tcpdump -E
Hier finden Sie alle Optionen
tcpdump -D
tcpdump --list-interfaces
tcpdump -nnSX port 443
tcpdump host
tcpdump src
tcpdump dst
tcpdump net
tcpdump -nnvvS
tcpdump -nnvvXS
tcpdump -nnvvXSs 1514
and or &&
or or ||
not or !
tcpdump 'src and (dst port 3389 or 22)'
tcpdump 'tcp[13] & 32 != 0'
tcpdump 'tcp[13] & 16 != 0'
tcpdump 'tcp[13] & 8 != 0'
tcpdump 'tcp[13] & 4 != 0'
tcpdump 'tcp[13] & 2 != 0'
tcpdump 'tcp[13] & 1 != 0'
tcpdump 'tcp[13] = 18'
tcpdump 'tcp[13] = 6'
tcpdump 'ip[6] & 128 != 0'
tcpdump ip6
tcpdump -A -i eth0
tcpdump -XX -i eth0
tcpdump -w 0001.pcap -i eth0
tcpdump -r 0001.pcap
tcpdump -n -i eth0
tcpdump -i eth0 tcp
tcpdump -i eth0 port 22
tcpdump -i eth0 src
tcpdump -i eth0 dst
tcpdump -n src host x.x.x.x
tcpdump -n host x.x.x.x
tcpdump -n dst host x.x.x.x
tcpdump -n src host x.x.x.x
tcpdump -n dst net x.x.x.0/24
tcpdump -n src net x.x.x.0/24
tcpdump -n dst port x
tcpdump -n src port x
tcpdump -n dst(or src) portrange x-y
tcpdump -n tcp(or udp) dst(or src) portrange x-y
tcpdump -n "dst host x.x.x.x and dst port y"
tcpdump -n "dst host x.x.x.x and (dst port x or dst port z)"
tcpdump -v icmp(or arp)
tcpdump -i eth0 -w cap.txt
tcpdump -c 1 -X icmp
tcpdump port 3389
tcpdump src port 1025
tcpdump icmp
tcpdump host
tcpdump src
tcpdump dst
tcpdump net
tcpdump -c 1 -X icmp
tcpdump port 3389
tcpdump src port 1025
tcpdump icmp
tcpdump ip6
tcpdump portrange 21-23
tcpdump less 32
tcpdump greater 64
tcpdump <= 128
tcpdump => 128
tcpdump port 80 -w capture_file
tcpdump -r capture_file
tcpdump -ttnnvvS
tcpdump -nnvvS src and dst port 3389
tcpdump -nvX src net and dst net or
tcpdump dst and src net and not icmp
tcpdump -vv src mars and not dst port 22
tcpdump 'tcp[13] & 4!=0'
tcpdump 'tcp[tcpflags] == tcp-rst'
tcpdump 'tcp[13] & 2!=0'
tcpdump 'tcp[tcpflags] == tcp-syn'
tcpdump 'tcp[13]=18'
tcpdump 'tcp[13] & 32!=0'
tcpdump 'tcp[tcpflags] == tcp-urg'
tcpdump 'tcp[13] & 16!=0'
tcpdump 'tcp[tcpflags] == tcp-ack'
tcpdump 'tcp[13] & 8!=0'
tcpdump 'tcp[tcpflags] == tcp-psh'
tcpdump 'tcp[13] & 1!=0'
tcpdump 'tcp[tcpflags] == tcp-fin'
tcpdump 'tcp[13] = 6'
tcpdump -vvAls0 | grep 'User-Agent:'
tcpdump -nn -A -s1500 -l | grep "User-Agent:"
tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'
tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'
tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"
tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"
tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'
tcpdump -n icmp
tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'
tcpdump dst port 123
tcpdump -nn -v port ftp or ftp-data
tcpdump -w /tmp/capture-%H.pcap -G 3600 -C 200
tcpdump -nn ip6 proto 6
tcpdump -nr ipv6-test.pcap ip6 proto 17
tcpdump -nn
Am Ziel:
nmap -p 80 --script=http-enum.nse targetip
Auf dem Server:
tcpdump -nn port 80 | grep "GET /"
GET /w3perl/ HTTP/1.1
GET /w-agora/ HTTP/1.1
GET /way-board/ HTTP/1.1
GET /web800fo/ HTTP/1.1
GET /webaccess/ HTTP/1.1
GET /webadmin/ HTTP/1.1
GET /webAdmin/ HTTP/1.1
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'
DNS mit Tcpdump filtern
tcpdump -i wlp58s0 -s0 port 53
tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20
tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '
tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user '
tcpdump -v -n port 67 or 68
tcpdump -vvAls0 | grep 'GET'
tcpdump -vvAls0 | grep 'Host:'
tcpdump -vvAls0 | grep 'Set-Cookie|Host:|Cookie:'
tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D'
tcpdump -vvAs0 port 53
tcpdump -vvAs0 port ftp or ftp-data
tcpdump -vvAs0 port 123
tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'
tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'
tcpdump 'ip[6] & 128 != 0'
Tcpdump: Pakete mit Tcp-Flags filtern
tcpdump -n icmp und 'icmp[0] != 8 und icmp[0] != 0'
tcpdump -n icmp and icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply
tcpdump -v -n ip and ip[1]!=0
tcpdump -v ip and 'ip[8]<2'
tcpdump -n tcp and port 80 and 'tcp[tcpflags] & tcp-syn == tcp-syn'
tcpdump tcp and port 80 and 'tcp[tcpflags] == tcp-syn'
tcpdump -n tcp and 'tcp[tcpflags] & (tcp-syn|tcp-ack) == (tcp-syn|tcp-ack)'
tcpdump -n tcp and 'tcp[tcpflags] & tcp-syn == tcp-syn' and 'tcp[tcpflags] & tcp-ack == tcp-ack'
tcpdump -vv -e -nn ether proto 0x0806
tcpdump -l icmp and '(ip[2:2]>50)' -w - |tcpdump -r - -v ip and '(ip[2:2]<60)'
tcpdump -v -n icmp and '(ip[2:2]>50)' and '(ip[2:2]<60)'
tcpdump -v -n icmp
tcpdump -q -i eth0
tcpdump -t -i eth0
tcpdump -A -n -q -i eth0 'port 80'
tcpdump -A -n -q -t -i eth0 'port 80'
tcpdump -A -s 0 -q -t -i eth0 'port 80 and ( ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12:2]&0xf0)>>2)) != 0)'
tcpdump -nq -s 0 -A -vvv port 5060 and host
tcpdump -i any -c10 -nn -A port 80
sudo tcpdump -i any -c10 -nn -A port 80
