Überblick
TCPdump ist ein Paketerfassungs-Tool mit welchem Pakete über eine Netzwerkschnittstelle abgefangen und erfasst werden können. Dies macht es zu einem nützlichen Tool, um Netzwerkschichtprobleme verstehen und beheben zu können. tcpdump gibt die Header von Paketen auf einer Netzwerkschnittstelle aus, die dem booleschen Ausdruck entsprechen.
Der folgende Artikel beschreibt Schritte zur Verwendung des tcpdump-Befehls in der Sophos Firewall CLI zur Überwachung des Paketflusses.
Was ist zu tun?
Melden sie sich auf dem Command Line Interface (CLI) an und wählen sie Option 4. Gerätekonsole
| tcpdump Befehl | Beispiel | |
| spezifischer Host | tcpdump ’host <ipaddress>’ | tcpdump ‘host 10.10.10.1’ |
| spezifischer Quellhost | tcpdump ’src host <ipaddress>’ | tcpdump ‘src host 10.10.10.1’ |
| bestimmter Zielhost | tcpdump ’dst host <ipaddress>’ | tcpdump ‘dst host 10.10.10.1’ |
| spezifisches Netzwerk | tcpdump ’net <network address>’ | tcpdump ‘net 10.10.10’ |
| spezifisches Quellnetzwerk | tcpdump ’src net <network address>’ | tcpdump ‘src net 10.10.10’ |
| spezifisches Zielnetzwerk | tcpdump ’dst net <network address>’ | tcpdump ‘dst net 10.10.10’ |
| spezifischer Port | tcpdump ’port <port-number>’ | tcpdump ‘port 21’ |
| spezifischer Quellport | tcpdump ’src port <port-number>’ | tcpdump ‘src port 21’ |
| bestimmter Zielport | tcpdump ’dst port <port-number>’ | tcpdump ‘dst port 21’ |
| spezifischer Host für den bestimmten Port | tcpdump ‘host <ipaddress> and port <port-number>’ | tcpdump ‘host 10.10.10.1 and port 21’ |
| der spezifische Host für alle Ports außer SSH | tcpdump ‘host <ipaddress> and port not <port-number>’ | tcpdump ‘host 10.10.10.1 and port not 22’ |
| spezifisches Protokoll | tcpdump ’proto ICMP’
tcpdump ’proto UDP’ tcpdump ’proto TCP’ tcpdump ‘arp’ |
|
| bestimmte Schnittstelle | tcpdump interface <interface> | tcpdump interface PortB |
| spezifischer Port einer bestimmten Schnittstelle | tcpdump interface <interface> ‘port <port-number>’ | tcpdump interface PortB ‘port 21’ |
Im Folgenden finden sie ein Beispiel für die Analyse der tcpdump-Ausgabe auf Port 80:
Hinweis: Ausdrücke können mit den logischen Operatoren AND, OR und NOT kombiniert werden. Stellen Sie sicher, dass Sie verschiedene Kombinationen innerhalb eines einzelnen Angebots verwenden. Dieses Dienstprogramm ist nicht sehr hilfreich beim Identifizieren und Beheben von Problemen im Zusammenhang in der Anwendungsebene.