{"id":21173,"date":"2025-11-08T12:06:01","date_gmt":"2025-11-08T11:06:01","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=21173"},"modified":"2025-11-08T12:06:03","modified_gmt":"2025-11-08T11:06:03","slug":"tcpdump-spricht-der-eine-rechner-mit-dem-anderen","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2025\/11\/08\/tcpdump-spricht-der-eine-rechner-mit-dem-anderen\/","title":{"rendered":"tcpdump – spricht der eine Rechner mit dem anderen?"},"content":{"rendered":"\n

Gerade bei Netzwerk<\/a>problemen hilft die passende Software solche zu lösen. Wenn es darum geht, den Netzwerk<\/a>verkehr auf der grafischen Oberfläche aufzuzeichnen, ist unter Linux<\/a> meist Wireshark<\/a> die passende Lösung. Auf einem Server<\/a> ohne grafische Oberfläche hilft hingegen die Software tcpdump – mit tcpdump aufgezeichneter Netzwerk<\/a>verkehr lässt sich auch in Wireshark analysieren.<\/p>\n\n\n\n

tcpdump installieren<\/h3>\n\n\n\n

Unter auf Debian<\/a> basierenden Linux<\/a>-Distribution<\/a>en installieren Sie diese Software wie üblich ganz einfach über die Paket<\/a>-Verwaltung, etwa am schnellsten als root<\/a> auf dem Terminal<\/a>:<\/p>\n\n\n\n

apt update\napt install tcpdump<\/code><\/pre>\n\n\n\n
tcpdump nutzen<\/h3>\n\n\n\n
tcpdump wird als root<\/a> auf dem Terminal<\/a> genutzt. Sie können damit feststellen, mit welchen anderen Rechnern (im lokalen Netzwerk<\/a> und im Internet<\/em>) kommuniziert wird, ob der Rechner mit einem anderen überhaupt kommuniziert und natürlich auch, was kommuniziert wird.<\/p>\n\n\n\n
Lassen wir uns zu Beginn einfach einmal alle verfügbaren Netzwerk<\/a>-Schnittstellen anzeigen:<\/p>\n\n\n\n
tcpdump -D<\/code><\/pre>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Als Ausgabe erhalten Sie pro Zeile eine Netzwerk<\/a>-Schnittstelle, die Ziffer vorne ist nur reine Information – in der ersten Zeile dieser Ausgabe sehen wir zum Beispiel die Schnittstelle „wlo1<\/strong>„. Mit „any<\/strong>“ hören wir alle Schnittstellen zur selben Zeit ab.<\/p>\n\n\n\n
Nun, versuchen wir einmal, jeglichen Netzwerk<\/a>verkehr auf der Schnittstelle „wlo1<\/strong>“ abzuhören – mit der Option -i<\/code> gibt man die Schnittstelle an:<\/p>\n\n\n\n
tcpdump -i wlo1<\/code><\/pre>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Zu Beginn jeder Zeile sehen Sie die Uhrzeit<\/strong>, es folgt die IP-Version<\/strong> (IP = v4 und IP6 = v6<\/em>). Weiter geht es mit dem Auslöser einer Anfrage – also dessen IP-Adresse<\/a> und dem Ziel-Rechner und folgend Informationen über die jeweiligen Paket<\/a>e und Ports<\/a>. Wichtig<\/strong> – solan<\/a>ge Sie keinen Ziel-Host<\/a> angeben, wird der komplette Netzwerk<\/a>verkehr des lokalen Netzwerk<\/a>es mitgeschnitten, also auch Paket<\/a>e, die den lokalen Rechner nichts angehen. Wir können wie beschrieben natürlich auch alle Netzwerk<\/a>-Schnittstellen gleichzeitig abhören:<\/p>\n\n\n\n
tcpdump -i any<\/code><\/pre>\n\n\n\n
Interessanter wird es natürlich, wenn es darum geht, ob ein bestimmter anderer Rechner überhaupt mit dem lokalen kommuniziert – dazu startet man etwa einen Ping<\/a> zu diesem Rechner und eine HTTP-Anfrage. Geht der Ping<\/a> durch und einen HTTP-Anfrage wird nicht beantwortet, wird etwa der Server<\/a> dort nicht laufen oder die Firewall blocki<\/a>ert die Anfrage. Wird der Ping<\/a> nicht beantwortet, hängt es irgendwo dazwischen (siehe MTR<\/a><\/em>). Mit der Option host<\/code> gibt man den entsprechenden Host<\/a> an, mit dem Hostname<\/a>n oder der IP-Adresse<\/a> (währenddessen läuft hier beispielsweise ein Ping<\/a> auf die Adresse<\/em>):<\/p>\n\n\n\n
tcpdump -i any host google.com<\/code><\/pre>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Mit -c N<\/code> können Sie die Abfrage auf N<\/strong> Paket<\/a>e beschränken, so hört die Abfrage nach zehn Paket<\/a>en auf:<\/p>\n\n\n\n
tcpdump -i any -c 10 host google.com<\/code><\/pre>\n\n\n\n
Mit der Option -A<\/code> können Sie sich die Ausgabe in ASCII (also Text<\/em>):<\/p>\n\n\n\n
tcpdum -i any -c 10 host google.com<\/code><\/pre>\n\n\n\n
Sie können sich auch nur TCP-Paket<\/a>e anzeigen lassen (also keine Broadcast-Kakete<\/em>), hierzu dient die Option tcp<\/code>:<\/p>\n\n\n\n
tcp -i any tcp<\/code><\/pre>\n\n\n\n
Auch können Sie die Ausgabe auf einen gewünschten Port beschränken, natürlich auch mit Host<\/a> – port N<\/code>:<\/p>\n\n\n\n
tcp -i any port 22\ntcp -i any port 22 host irgendein.host<\/code><\/pre>\n\n\n\n
Auch können Sie die Ausgabe auf Quelle src<\/code> und Ziel dst<\/code> begrenzen:<\/p>\n\n\n\n
tcpdump -i any src IP-Adresse\ntcpdump -i any dst IP-Adresse<\/code><\/pre>\n\n\n\n
Längere Ausgaben speichert man besser in eine Datei<\/a> und wertet diese anschließend etwa in Wireshark aus, die passende Datei<\/a>endung wäre „.pcap<\/strong>„, hierzu nutzen Sie die Option -r Dateiname<\/code>:<\/p>\n\n\n\n
tcpdump -i any -r dateiname.pcap<\/code><\/pre>\n
\r\n    
\r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    10    <\/span>\r\n<\/div>
\r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    <\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"
Gerade bei Netzwerkproblemen hilft die passende Software solche zu l\u00f6sen. Wenn es darum geht, den Netzwerkverkehr auf der grafischen Oberfl\u00e4che aufzuzeichnen, ist unter Linux meist Wireshark die passende L\u00f6sung. Auf einem Server ohne grafische Oberfl\u00e4che hilft hingegen die Software tcpdump – mit tcpdump aufgezeichneter Netzwerkverkehr l\u00e4sst sich auch in Wireshark analysieren. tcpdump installieren Unter auf […]<\/p>\n","protected":false},"author":1,"featured_media":21181,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[38,4],"tags":[12,39,7,6],"class_list":["post-21173","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-netzwerk","category-terminal","tag-kommandozeile","tag-netzwerk","tag-shell","tag-terminal"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21173","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=21173"}],"version-history":[{"count":1,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21173\/revisions"}],"predecessor-version":[{"id":21182,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/21173\/revisions\/21182"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/21181"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=21173"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=21173"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=21173"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}