{"id":21173,"date":"2025-11-08T12:06:01","date_gmt":"2025-11-08T11:06:01","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=21173"},"modified":"2025-11-08T12:06:03","modified_gmt":"2025-11-08T11:06:03","slug":"tcpdump-spricht-der-eine-rechner-mit-dem-anderen","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2025\/11\/08\/tcpdump-spricht-der-eine-rechner-mit-dem-anderen\/","title":{"rendered":"tcpdump &#8211; spricht der eine Rechner mit dem anderen?"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Gerade bei Netzwerkproblemen hilft die passende Software solche zu l\u00f6sen. Wenn es darum geht, den Netzwerkverkehr auf der grafischen Oberfl\u00e4che aufzuzeichnen, ist unter Linux meist <a href=\"https:\/\/linux-bibel.at\/index.php\/2023\/09\/10\/wireshark-netzwerk-sniffer-unter-linux\/\" data-type=\"post\" data-id=\"2520\">Wireshark<\/a> die passende L\u00f6sung. Auf einem Server ohne grafische Oberfl\u00e4che hilft hingegen die Software tcpdump &#8211; mit tcpdump aufgezeichneter Netzwerkverkehr l\u00e4sst sich auch in Wireshark analysieren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">tcpdump installieren<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Unter auf Debian basierenden Linux-Distributionen installieren Sie diese Software wie \u00fcblich ganz einfach \u00fcber die Paket-Verwaltung, etwa am schnellsten als root auf dem Terminal:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>apt update\napt install tcpdump<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">tcpdump nutzen<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">tcpdump wird als root auf dem Terminal genutzt. Sie k\u00f6nnen damit feststellen, mit welchen anderen Rechnern (<em>im lokalen Netzwerk und im Internet<\/em>) kommuniziert wird, ob der Rechner mit einem anderen \u00fcberhaupt kommuniziert und nat\u00fcrlich auch, was kommuniziert wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Lassen wir uns zu Beginn einfach einmal alle verf\u00fcgbaren Netzwerk-Schnittstellen anzeigen:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcpdump -D<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump.jpg\" rel=\"lightbox-0\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"518\" src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1024x518.jpg\" alt=\"\" class=\"wp-image-21179\" srcset=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1024x518.jpg 1024w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-150x76.jpg 150w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-300x152.jpg 300w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-768x389.jpg 768w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump.jpg 1120w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Als Ausgabe erhalten Sie pro Zeile eine Netzwerk-Schnittstelle, die Ziffer vorne ist nur reine Information &#8211; in der ersten Zeile dieser Ausgabe sehen wir zum Beispiel die Schnittstelle &#8222;<strong>wlo1<\/strong>&#8222;. Mit &#8222;<strong>any<\/strong>&#8220; h\u00f6ren wir alle Schnittstellen zur selben Zeit ab.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nun, versuchen wir einmal, jeglichen Netzwerkverkehr auf der Schnittstelle &#8222;<strong>wlo1<\/strong>&#8220; abzuh\u00f6ren &#8211; mit der Option <code>-i<\/code> gibt man die Schnittstelle an:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcpdump -i wlo1<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1-scaled.jpg\" rel=\"lightbox-1\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"640\" src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1-1024x640.jpg\" alt=\"\" class=\"wp-image-21180\" srcset=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1-1024x640.jpg 1024w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1-1536x960.jpg 1536w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1-2048x1280.jpg 2048w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1-150x94.jpg 150w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1-300x188.jpg 300w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-1-768x480.jpg 768w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Zu Beginn jeder Zeile sehen Sie die <strong>Uhrzeit<\/strong>, es folgt die <strong>IP-Version<\/strong> (<em>IP = v4 und IP6 = v6<\/em>). Weiter geht es mit dem Ausl\u00f6ser einer Anfrage &#8211; also dessen IP-Adresse und dem Ziel-Rechner und folgend Informationen \u00fcber die jeweiligen Pakete und Ports. <strong>Wichtig<\/strong> &#8211; solange Sie keinen Ziel-Host angeben, wird der komplette Netzwerkverkehr des lokalen Netzwerkes mitgeschnitten, also auch Pakete, die den lokalen Rechner nichts angehen. Wir k\u00f6nnen wie beschrieben nat\u00fcrlich auch alle Netzwerk-Schnittstellen gleichzeitig abh\u00f6ren:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcpdump -i any<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Interessanter wird es nat\u00fcrlich, wenn es darum geht, ob ein bestimmter anderer Rechner \u00fcberhaupt mit dem lokalen kommuniziert &#8211; dazu startet man etwa einen Ping zu diesem Rechner und eine HTTP-Anfrage. Geht der Ping durch und einen HTTP-Anfrage wird nicht beantwortet, wird etwa der Server dort nicht laufen oder die Firewall blockiert die Anfrage. Wird der Ping nicht beantwortet, h\u00e4ngt es irgendwo dazwischen (<em>siehe <a href=\"https:\/\/linux-bibel.at\/index.php\/2025\/10\/31\/mtr-unter-linux-pruefen-wo-es-im-netzwerk-haengt\/\" data-type=\"post\" data-id=\"20988\">MTR<\/a><\/em>). Mit der Option <code>host<\/code> gibt man den entsprechenden Host an, mit dem Hostnamen oder der IP-Adresse (<em>w\u00e4hrenddessen l\u00e4uft hier beispielsweise ein Ping auf die Adresse<\/em>):<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcpdump -i any host google.com<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-2.jpg\" rel=\"lightbox-2\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"270\" src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-2-1024x270.jpg\" alt=\"\" class=\"wp-image-21181\" srcset=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-2-1024x270.jpg 1024w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-2-1536x405.jpg 1536w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-2-150x40.jpg 150w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-2-300x79.jpg 300w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-2-768x203.jpg 768w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2025\/11\/tcpdump-2.jpg 1860w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Mit <code>-c N<\/code> k\u00f6nnen Sie die Abfrage auf <strong>N<\/strong> Pakete beschr\u00e4nken, so h\u00f6rt die Abfrage nach zehn Paketen auf:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcpdump -i any -c 10 host google.com<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Mit der Option <code>-A<\/code> k\u00f6nnen Sie sich die Ausgabe in ASCII (<em>also Text<\/em>):<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcpdum -i any -c 10 host google.com<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Sie k\u00f6nnen sich auch nur TCP-Pakete anzeigen lassen (<em>also keine Broadcast-Kakete<\/em>), hierzu dient die Option <code>tcp<\/code>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcp -i any tcp<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Auch k\u00f6nnen Sie die Ausgabe auf einen gew\u00fcnschten Port beschr\u00e4nken, nat\u00fcrlich auch mit Host &#8211; <code>port N<\/code>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcp -i any port 22\ntcp -i any port 22 host irgendein.host<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Auch k\u00f6nnen Sie die Ausgabe auf Quelle <code>src<\/code> und Ziel <code>dst<\/code> begrenzen:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcpdump -i any src IP-Adresse\ntcpdump -i any dst IP-Adresse<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">L\u00e4ngere Ausgaben speichert man besser in eine Datei und wertet diese anschlie\u00dfend etwa in Wireshark aus, die passende Dateiendung w\u00e4re &#8222;<strong>.pcap<\/strong>&#8222;, hierzu nutzen Sie die Option <code>-r Dateiname<\/code>:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>tcpdump -i any -r dateiname.pcap<\/code><\/pre>\n<div class=\"pld-like-dislike-wrap pld-custom\">\r\n    <div class=\"pld-like-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-like-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir\" data-post-id=\"21173\" data-trigger-type=\"like\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Hoch.png\" alt=\"Gef\u00e4llt mir\" \/>\r\n            <\/a>\r\n    <span class=\"pld-like-count-wrap pld-count-wrap\">10    <\/span>\r\n<\/div><div class=\"pld-dislike-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-dislike-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir nicht\" data-post-id=\"21173\" data-trigger-type=\"dislike\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Runter.png\" alt=\"Gef\u00e4llt mir nicht\" \/>\r\n            <\/a>\r\n    <span class=\"pld-dislike-count-wrap pld-count-wrap\"><\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Gerade bei Netzwerkproblemen hilft die passende Software solche zu l\u00f6sen. Wenn es darum geht, den Netzwerkverkehr auf der grafischen Oberfl\u00e4che aufzuzeichnen, ist unter Linux meist Wireshark die passende L\u00f6sung. Auf einem Server ohne grafische Oberfl\u00e4che hilft hingegen die Software tcpdump &#8211; mit tcpdump aufgezeichneter Netzwerkverkehr l\u00e4sst sich auch in Wireshark analysieren. tcpdump installieren Unter auf [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":21181,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[38,4],"tags":[12,39,7,6],"class_list":["post-21173","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-netzwerk","category-terminal","tag-kommandozeile","tag-netzwerk","tag-shell","tag-terminal"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21173","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=21173"}],"version-history":[{"count":1,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21173\/revisions"}],"predecessor-version":[{"id":21182,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21173\/revisions\/21182"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/21181"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=21173"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=21173"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=21173"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}